وظیفه زمانبندی شده
Scheduled Taskتوضیحات
مهاجمان از Windows Task Scheduler برای اجرای کد مخرب در زمانهای مشخص یا با فواصل منظم استفاده میکنند. Task Scheduler میتواند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شود. مهاجمان میتوانند وظایف زمانبندی شده را از طریق schtasks.exe یا رابط گرافیکی ایجاد کنند.
روشهای شناسایی
نظارت بر ایجاد وظایف زمانبندی شده با schtasks.exe. بررسی لاگهای Task Scheduler. شناسایی وظایف با مسیرهای فایل مشکوک. تحلیل وظایف زمانبندی شده موجود.
روشهای مقابله
محدود کردن دسترسی به Task Scheduler. نظارت بر تغییرات وظایف زمانبندی شده. استفاده از حداقل سطح دسترسی. بررسی منظم وظایف زمانبندی شده. پیادهسازی Application Whitelisting.
تکنیک اصلی
وظیفه/کار زمانبندی شده
مهاجمان از قابلیتهای زمانبندی وظایف سیستمعامل برای اجرای کد مخرب در زمانهای مشخص یا با فواصل منظم سوءاستفاده میکنند. این تکنیک میتواند برای اجرا، پایداری و ارتقاء سطح دسترسی استفاده شود. Windows Task Scheduler، cron و سایر ابزارهای زمانبندی اهداف رایج هستند.