Scheduled Task: Scheduled Task (T1053.005)

Il Task Scheduler è uno degli strumenti più versatili che un red teamer possa utilizzare in laboratorio, perché consente di coprire tre tattiche con un singolo comando. La superficie di attacco è ampia e i vettori di creazione sono molteplici.

Persistenza classica via CLI. Il metodo più diretto replica ciò che gruppi come APT3 e Earth Lusca hanno fatto in produzione. Il primo ha usato un task in contesto SYSTEM eseguito al logon, il secondo un trigger ONLOgon con percorso personalizzato. In laboratorio, la creazione base si ottiene con:

schtasks /create /tn "WinUpdate" /tr "C:\Temp\payload.exe" /sc ONLOGON /ru SYSTEM /f

Il flag /ru SYSTEM forza l'esecuzione in contesto privilegiato, simulando l'escalation. Il flag /f sovrascrive un task esistente senza conferma, utile per lo scenario di hijacking documentato nella campagna SolarWinds Compromise (C0024), dove APT29 modificava task legittimi esistenti, eseguiva i propri tool e poi ripristinava la configurazione originale.

Esecuzione remota per lateral movement. Questa è la variante usata da Ember Bear e Naikon. Utilizzando credenziali valide, si crea un task su un host remoto, come documentato anche nella campagna Operation CuckooBees (C0012):

schtasks /create /s <IP_TARGET> /u <DOMINIO\utente> /p /sc ONCE /tn "test" /tr "C:\Windows\Temp\run.bat" /st 14:00 /ru SYSTEM

Il trigger /sc ONCE con orario specificato consente un'esecuzione puntuale che lascia meno tracce di un task ricorrente.

Distribuzione via GPO. L'approccio di Storm-0501 durante la distribuzione del ransomware Embargo e di Sandworm Team nell'attacco alla rete elettrica ucraina (C0034) ha previsto la creazione di task tramite Group Policy Object. In laboratorio si può simulare con SharpGPOAbuse (open source), che modifica GPO esistenti per aggiungere Immediate Scheduled Task.

Task nascosti. La tecnica usata dal malware Tarrask consiste nell'eliminare il valore SD (Security Descriptor) dalla chiave di registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\<NomeTask>. Questo richiede permessi SYSTEM e rende il task invisibile sia alla GUI sia a schtasks /query. Per simularlo, dopo aver creato un task, si opera sul registro con PsExec (freemium) di Sysinternals per ottenere una shell SYSTEM e poi si rimuove il valore con:

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NomeTask" /v SD /f

Wrapper alternativi. Impacket (open source) include lo script atexec.py, lo stesso usato da menuPass, che crea ed esegue task remoti via RPC. Empire (open source) offre moduli dedicati per la creazione di task via PowerShell, come documentato nella campagna Frankenstein (C0001).

La detection di questa tecnica è insidiosa proprio perché il Task Scheduler è uno dei meccanismi più usati legittimamente in ambienti enterprise: patch management, inventory agent, script di manutenzione generano decine di task al giorno. La chiave è costruire una baseline e poi cercare le anomalie, partendo da log source e artefatti digitali ben definiti.

Log source critici. La detection primaria si fonda su due canali complementari. Il primo è il Security Event Log di Windows: l'EventCode 4698 (task creato), 4702 (task aggiornato) e 4699 (task eliminato) sono fondamentali e devono essere attivati tramite Advanced Audit Policy Configuration, sotto Object Access > Audit Other Object Access Events. Il secondo è Sysmon (open source): l'EventID 1 (Process Create) cattura le invocazioni di schtasks.exe, mentre il monitoraggio del registro tramite EventID 12/13/14 rileva la manipolazione diretta delle chiavi di TaskCache, compresa la cancellazione del Security Descriptor tipica dei task nascosti come quelli creati da Tarrask.

Il canale Microsoft-Windows-TaskScheduler/Operational fornisce log nativi dettagliati — in particolare l'EventID 106 (task registrato) e il 129/201 (task eseguito/completato) — ma va abilitato esplicitamente perché è disattivato per default.

Indicatori comportamentali ad alta fedeltà. Non tutti i task sono uguali. I segnali che alzano la probabilità di un vero positivo sono convergenti: task creati con contesto /ru SYSTEM da un utente non amministrativo; path di esecuzione anomali come C:\Users\Public, %APPDATA%, o directory temporanee; nomi che mimano servizi legittimi — il malware Maze usava "Windows Update Security Patches", SUGARDUMP creava task con "MicrosoftInternetExplorerCrashRepoeterTaskMachineUA" (notare il typo deliberato), Kimsuky sfruttava "ChromeUpdateTaskMachine".

La correlazione temporale tra EventCode 4698 e l'esecuzione successiva dal processo svchost.exe -k netsvcs -p -s Schedule (il servizio Task Scheduler) in una finestra ridotta (sotto i 60 secondi) è un pattern sospetto. Molti malware come BONDUPDATER, Dyre, POWRUNER e Mango configurano task con ricorrenza ogni minuto o ogni 30-40 secondi, una frequenza incompatibile con i task amministrativi legittimi.

Tuning dei falsi positivi. La detection analytic (DET0441) suggerisce quattro parametri di tuning essenziali:

• TimeWindow: soglia temporale per correlare creazione ed esecuzione sospetta
• UserContext: filtro sugli account non standard o esecuzione SYSTEM inattesa
• TaskNamePattern: whitelist dei nomi task legittimi nell'ambiente, flaggando quelli randomizzati o contenenti typo di nomi noti
• CommandLineEntropyThreshold: soglia di entropia per identificare comandi PowerShell offuscati in base64 o payload encoded passati come argomento del task

Una buona pratica è mantenere un inventario dei task autorizzati (esportabile con schtasks /query /fo CSV) e confrontarlo periodicamente con lo stato attuale, un approccio che rileva anche i task nascosti se la baseline include la scansione del registro.

La ricchezza degli artefatti lasciati dai task schedulati rende questa tecnica una delle più ricostruibili in fase di incident response. Il Task Scheduler scrive su disco, nel registro e nei log, offrendo molteplici punti di ancoraggio per la timeline.

Artefatti su disco. Ogni task creato tramite i canali ufficiali genera un file XML nella directory C:\Windows\System32\Tasks\ (o in sottocartelle, come Microsoft\Windows\). Il file contiene il trigger, il contesto di esecuzione, il path del binario e la data di creazione. Durante la campagna C0032, TEMP.Veles installava task definiti in file XML dedicati. Il malware IronNetInjector usava un file XML chiamato mssch.xml. L'analisi dei timestamp NTFS ($MFT) di questi file — creazione, ultima modifica, ultimo accesso — è il primo tassello della timeline. Il tool MFTECmd (open source, parte di Eric Zimmerman's Tools) consente di parsare la $MFT ed estrarre i timestamp con precisione al nanosecondo.

Per i task nascosti alla maniera di Tarrask, il file XML potrebbe essere ancora presente su disco anche se il Security Descriptor è stato rimosso dal registro. Questo disallineamento (file presente, SD assente) è di per sé un indicatore forense di alto valore.

Artefatti nel registro. Il Task Scheduler mantiene una struttura gerarchica sotto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\. Le chiavi principali sono Tree (struttura dei nomi), Tasks (metadati indicizzati per GUID), Plain e Boot (task per tipo di trigger). Ogni task ha un valore Actions (binario, contiene il comando), Triggers (condizioni di esecuzione) e un campo DynamicInfo con l'ultimo orario di esecuzione. Il tool Registry Explorer (open source, Eric Zimmerman's Tools) decodifica queste strutture binarie. La campagna C0017 documenta come APT41 usasse path di task legittimi (\Microsoft\Windows\PLA\Server Manager Performance Monitor, \Microsoft\Windows\WDI\USOShared) per mascherare i propri dropper: l'analisi forense deve verificare che il contenuto del campo Actions sia coerente con il nome del task.

Artefatti nei log. Il log Microsoft-Windows-TaskScheduler/Operational (file .evtx) è la fonte più granulare. L'EventID 106 registra la creazione con nome e utente, l'EventID 140 un aggiornamento, e il 200/201 l'inizio e la fine dell'esecuzione con il return code. Il Security Log con EventID 4698 cattura l'intero XML del task nel campo TaskContent, permettendo di ricostruire la configurazione esatta anche dopo la cancellazione del file su disco.

Ricostruzione della sequenza. Un approccio efficace consiste nell'allineare su una timeline unica — con tool come Timeline Explorer (open source) — i seguenti elementi: timestamp di creazione del file XML dal $MFT, EventID 4698 dal Security Log, EventID 106 dal TaskScheduler Operational Log, EventID 1 di Sysmon per il processo schtasks.exe con la command line completa. Nella campagna SolarWinds Compromise (C0024), APT29 creava task, li eseguiva per il lateral movement e poi li riportava alla configurazione originale: solo la correlazione di tutti questi artefatti rivela l'intera catena, perché il task finale appare innocuo se analizzato in isolamento.

La tecnica T1053.005 è un vero denominatore comune del panorama threat: la utilizzano gruppi di ogni estrazione geografica, con finalità che vanno dallo spionaggio al ransomware. Questa trasversalità la rende meno utile come singolo indicatore di attribuzione, ma l'analisi delle modalità specifiche di impiego rivela pattern significativi.

APT29 rappresenta il paradigma dell'uso sofisticato. Durante la SolarWinds Compromise (C0024), il gruppo russo non si è limitato a creare task per la persistenza di SUNSPOT: ha manipolato task esistenti legittimi, eseguito i propri strumenti e poi ripristinato la configurazione originale, una tecnica di anti-forensics che dimostra consapevolezza operativa avanzata. Il pattern "hijack-execute-restore" è una firma comportamentale di questo attore.

APT41 mostra un approccio diverso ma altrettanto raffinato. Nella campagna C0017 contro reti governative statunitensi, il gruppo ha scelto di nascondere i propri dropper DEADEYE dentro percorsi di task legittimi di Windows (\Microsoft\Windows\PLA\, \Microsoft\Windows\WDI\), sfruttando la fiducia implicita che i difensori ripongono nei namespace Microsoft. Questo schema di mimetismo nei path ufficiali è stato osservato anche nella campagna Operation CuckooBees (C0012), collegata allo stesso ecosistema.

Sandworm Team impiega i task schedulati come arma di sabotaggio su scala. Nel 2022 Ukraine Electric Power Attack (C0034), il gruppo ha distribuito CaddyWiper attraverso GPO che creavano task su tutti i sistemi del dominio, trasformando un meccanismo di persistenza in un vettore di distribuzione massiva. Lo stesso approccio GPO è stato usato da Storm-0501 per distribuire il ransomware Embargo, e il malware Qilin adotta la stessa modalità, suggerendo che la distribuzione via GPO scheduled task stia diventando uno standard operativo per i gruppi ransomware.

Il cluster iraniano presenta una densità notevole: APT33, APT39, APT42, OilRig, Magic Hound, Fox Kitten e MuddyWater utilizzano tutti task schedulati, spesso con pattern ripetitivi. OilRig in particolare, durante la campagna Juicy Mix (C0044), ha utilizzato VBS dropper per creare task di persistenza per il backdoor Mango, configurato con intervalli di 32 secondi. APT33 ha schedulato l'esecuzione multipla giornaliera di file .vbe, mentre POWRUNER e BONDUPDATER, entrambi associati all'ecosistema iraniano, usano task con intervallo di un minuto. Questa preferenza per frequenze di polling altissime è un pattern regionale che i difensori possono sfruttare per il triage.

Sul fronte Asia-Pacifico, Lazarus Group ha impiegato task schedulati nella campagna Operation Dream Job (C0022) per l'esecuzione periodica di script XSL remoti, combinando persistenza e living-off-the-land. Mustang Panda e Kimsuky usano i task in modo più convenzionale per persistenza, ma Kimsuky si distingue per l'uso del cmdlet PowerShell Register-ScheduledTask con nomi che mimano aggiornamenti Chrome e cadenze di 30 minuti.

Un trend consolidato è l'uso di nomi di task che impersonano prodotti legittimi: Google (APT-C-36), Mozilla Firefox (StrifeWater), Microsoft Edge (SUGARDUMP), Chrome (Kimsuky), Internet Explorer (Stealth Falcon), Java (HotCroissant). L'inventario dei nomi-esca è un indicatore utile per le regole di detection cross-campagna.

Framework MITRE ATT&CK v16 — T1053.005 Scheduled Task. Campagne: C0024, C0058, C0034, C0017, C0001, C0044, C0030, C0004, C0022, C0012, C0014, C0032. Detection: DET0441 / AN1221 (Windows Security e Sysmon). Tool di detection e forensics: Sysmon, MFTECmd, Registry Explorer, Timeline Explorer. Integrato con conoscenza professionale per tool e procedure operative.