s0110-at - RunkIntel

# at > Tipo: **tool** · S0110 · [MITRE ATT&CK](https://attack.mitre.org/software/S0110) ## Descrição [[s0110-at|at]] é um utilitário nativo disponível em sistemas Windows, Linux e macOS utilizado para agendar a execução de tarefas em data ou hora específicada. No Windows, `at.exe` foi o mecanismo original de agendamento antes de ser substituído pelo Task Scheduler (`schtasks.exe`) a partir do Windows 8/Server 2012. Administradores de sistemas Windows legados ainda o utilizam para scripts de manutenção, backups e execução de jobs em horários fora do expediente. Adversários abusam do `at` para estabelecer persistência agendando a execução de payloads maliciosos em horários específicos - geralmente durante jánelas de menor atividade de monitoramento, como madrugadas ou finais de semana. Grupos como [[g0093-gallium|GALLIUM]], [[g0065-leviathan|Leviathan]] e [[g0060-bronze-butler|BRONZE BUTLER]] utilizam `at` como mecanismo de persistência leve e menos monitorado do que schtasks, especialmente em sistemas Windows Server legados ainda comuns em infraestruturas corporativas e governamentais. **Plataformas:** Linux, Windows, macOS ## Técnicas Utilizadas - [[t1053-002-at|T1053.002 - At]] ## Grupos que Usam - [[g0093-gallium|GALLIUM]] - [[g0065-leviathan|Leviathan]] - [[g0060-bronze-butler|BRONZE BUTLER]] ## Relevância LATAM/Brasil Sistemas Windows Server 2008/2012 sem suporte estendido ainda são prevalentes em infraestrutura de órgãos públicos brasileiros e PMEs na América Latina - ambientes onde `at.exe` ainda funciona como utilitário ativo. O [[g0093-gallium|GALLIUM]], grupo associado a espionagem direcionada a telecomúnicações (incluindo operadoras LATAM), e o [[g0065-leviathan|Leviathan]] utilizam `at` para persistência em servidores legados comprometidos. Em auditorias de segurança realizadas em órgãos governamentais brasileiros em 2024, a presença de jobs agendados via `at.exe` apontando para binários em diretórios temporários foi documentada como indicador de comprometimento. ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4698 / 4700 / 4702:** Criação, habilitação e modificação de Scheduled Tasks - aplicável para `at.exe` e `schtasks.exe` - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `at.exe` com argumentos de horário e comando - monitorar tasks apontando para `%TEMP%`, `%APPDATA%`, ou paths fora de `System32` - **Windows Event Log - Microsoft-Windows-TaskScheduler/Operational:** Registro granular de atividade do Task Scheduler incluindo tasks legadas criadas via `at.exe` **Regras de detecção:** - Sigma: `proc_creation_win_at_execution.yml` - execução de `at.exe` com argumentos suspeitos (SigmaHQ) - Sigma: `win_susp_schtask_creation.yml` - criação de tasks com payloads em diretórios temporários (abrange ambos at e schtasks) ## Referências Adicionais - [MITRE ATT&CK - S0110](https://attack.mitre.org/software/S0110) - [SigmaHQ - at.exe execution detection](https://github.com/SigmaHQ/sigma) - 2024