Descripción de la Tecnica
WIN_ScheduledTasks_Abuse es un patrón de ataque de MITRE ATT&CK que identifica el uso malicioso de las tareas programadas en sistemas Windows. Este mecanismo se centra en la manipulación de comandos relacionados con schtasks.exe, un herramienta integrada del sistema para gestionar tareas planificadas.
¿Cómo Funciona?
Esta técnica utiliza el evento ProcessRollup2 para detectar procesos que ejecutan comandos específicos en schtasks.exe. Los patrones de búsqueda incluyen argumentos como /create, /run, /change y /delete, los cuales pueden ser utilizados para crear, ejecutar o modificar tareas programadas sin el conocimiento del administrador de sistemas.
Actores que la Utilizan
Esta técnica es parte del marco MITRE ATT&CK y puede ser empleada por actores maliciosos con objetivos como mantener acceso persistente, ejecutar código en tiempo real o propagar malware. No se especifica un actor particular en el contexto proporcionado.
Detección
La detección se basa en la identificación de procesos que interactúan con schtasks.exe mediante comandos sospechosos. El análisis incluye la verificación de la extensión del archivo, el uso de argumentos no estándar y la asociación con usuarios o computadoras anormales.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| File | schtasks.exe |
Nombre del archivo asociado a la herramienta de tareas programadas. |
| Command Line | /create|/run|/change|/delete |
Argumentos comunes utilizados en comandos maliciosos relacionados con tareas programadas. |
Mitigación
Se recomienda monitorear activamente las tareas programadas y aplicar protección de endpoints para detectar actividades anómalas. Además, se sugiere revisar los permisos de usuarios y limitar el acceso a herramientas críticas como schtasks.exe.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*