At
Atتوضیحات
مهاجمان از دستور At در ویندوز و یونیکس برای زمانبندی اجرای کد مخرب استفاده میکنند. At یک ابزار legacy است که در نسخههای قدیمیتر ویندوز و سیستمهای یونیکس برای زمانبندی وظایف استفاده میشود. مهاجمان میتوانند از At برای اجرای دستورات در زمانهای مشخص استفاده کنند.
روشهای شناسایی
نظارت بر استفاده از دستور At. بررسی لاگهای Task Scheduler. شناسایی وظایف زمانبندی شده با At. تحلیل دستورات زمانبندی شده.
روشهای مقابله
غیرفعال کردن سرویس At در صورت عدم نیاز. محدود کردن دسترسی به دستور At. نظارت بر وظایف زمانبندی شده. استفاده از حداقل سطح دسترسی. بررسی منظم وظایف زمانبندی شده.
تکنیک اصلی
وظیفه/کار زمانبندی شده
مهاجمان از قابلیتهای زمانبندی وظایف سیستمعامل برای اجرای کد مخرب در زمانهای مشخص یا با فواصل منظم سوءاستفاده میکنند. این تکنیک میتواند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شود. Windows Task Scheduler، cron و سایر ابزارهای زمانبندی اهداف رایج هستند.