وظیفه/کار زمانبندی شده
Scheduled Task/Jobتوضیحات
مهاجمان از قابلیتهای زمانبندی وظایف سیستمعامل برای اجرای کد مخرب در زمانهای مشخص یا با فواصل منظم سوءاستفاده میکنند. این تکنیک میتواند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شود. Windows Task Scheduler، cron و سایر ابزارهای زمانبندی اهداف رایج هستند.
زیرتکنیکها (5)
مهاجمان از دستور At در ویندوز و یونیکس برای زمانبندی اجرای کد مخرب استفاده میکنند. At یک ابزار legacy است که در نسخههای قدیمیتر ویندوز و سیستمهای یونیکس برای زمانبندی وظایف استفاده میشود. مهاجمان میتوانند از At برای اجرای دستورات در زمانهای مشخص استفاده کنند.
مهاجمان از Cron در سیستمهای لینوکس و macOS برای زمانبندی اجرای کد مخرب استفاده میکنند. Cron یک زمانبند وظایف است که به کاربران اجازه میدهد دستورات را در فواصل زمانی منظم اجرا کنند. مهاجمان میتوانند crontab را برای ایجاد پایداری و اجرای کد مخرب تغییر دهند.
مهاجمان از Windows Task Scheduler برای اجرای کد مخرب در زمانهای مشخص یا با فواصل منظم استفاده میکنند. Task Scheduler میتواند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شود. مهاجمان میتوانند وظایف زمانبندی شده را از طریق schtasks.exe یا رابط گرافیکی ایجاد کنند.
مهاجمان از تایمرهای systemd در لینوکس برای زمانبندی اجرای کد مخرب استفاده میکنند. فایلهای .timer در systemd میتوانند برای اجرای دستورات در فواصل زمانی منظم استفاده شوند. تایمرهای systemd میتوانند از راه دور از طریق SSH فعال شوند و برای پایداری در سطح سیستم یا کاربر استفاده شوند.
مهاجمان از CronJobهای Kubernetes و سایر مکانیزمهای زمانبندی ارکستراسیون کانتینر برای اجرای کد مخرب استفاده میکنند. این تکنیک میتواند برای استقرار کانتینرهای مخرب، ایجاد پایداری در کلاسترها و اجرای کد در فواصل زمانی منظم استفاده شود.
روشهای شناسایی
نظارت بر ایجاد و تغییر وظایف زمانبندی شده. بررسی لاگهای Task Scheduler و cron. شناسایی وظایف با مسیرهای فایل مشکوک. تحلیل دورهای وظایف زمانبندی شده موجود.
روشهای مقابله
محدود کردن دسترسی به ابزارهای زمانبندی. نظارت بر تغییرات در وظایف زمانبندی شده. استفاده از حداقل سطح دسترسی. بررسی منظم وظایف زمانبندی شده. پیادهسازی Application Whitelisting.