s0111-schtasks - RunkIntel

# schtasks > [!warning] LOLBin - Persistência e Execução Remota > Utilitário nativo do Windows para criação de tarefas agendadas - uma das técnicas de persistência mais abusadas por grupos APT. Permite execução local e remota sem necessidade de PsExec. APT3, Kimsuky e BRONZE BUTLER usam para persistência furtiva imitando tarefas legítimas do sistema. ## Visão Geral **schtasks** (Scheduled Tasks) é um utilitário nativo do Windows para criação, modificação, execução e exclusão de tarefas agendadas via linha de comando. Equivalente ao Agendador de Tarefas gráfico (`taskschd.msc`), suporta execução local e remota (`/s <computador>`). Administradores o utilizam amplamente para automação de backups, manutenção de sistema e scripts de monitoramento. Em operações ofensivas, schtasks é uma das técnicas de persistência mais comuns em sistemas Windows ([[t1053-005-scheduled-task|T1053.005]]). A criação remota de tarefas também é usada para execução lateral sem necessidade de serviços como PsExec - especialmente útil quando portas SMB estão filtradas mas WMI e Task Scheduler permanecem acessíveis. Grupos avançados imitam nomes de tarefas legítimas do sistema para evadir detecção. **Plataformas:** Windows ## Como Funciona O schtasks opera sobre o Windows Task Scheduler Service, com suporte a múltiplos gatilhos: **Gatilhos de execução abusados:** - `/sc ONLOGON` - executa ao logon de qualquer usuário (persistência pós-login) - `/sc ONSTART` - executa no boot do sistema (persistência via System) - `/sc MINUTE /mo 15` - executa a cada 15 minutos (beaconing periódico) - `/sc ONCE /st HH:MM` - execução agendada para horário específico **Execução privilegiada:** ``` schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru "System" ``` O flag `/ru "System"` executa a tarefa com privilégios SYSTEM - equivalente a LPE sem explorar vulnerabilidades de kernel. **Execução remota (movimento lateral):** ``` schtasks /create /s <alvo> /tn "TaskName" /tr <payload> /sc ONLOGON /ru "System" ``` Permite execução em host remoto via RPC/DCOM sem necessidade do serviço ADMIN$ (SMB). **Evasão por nome:** - Imitam caminhos de tarefas legítimas: `\Microsoft\Windows\UpdateOrchestrator\UpdateAssistant` - Usam nomes de serviços Google/Microsoft: `ChromeUpdateTaskMachine` (Kimsuky) ## Uso Ofensivo ```mermaid graph TB A["🔑 Acesso privilegiado admin ou SYSTEM"] --> B["⏰ Criação de tarefa schtasks /create"] B --> C{"Tipo de gatilho"} C --> D["🔄 ONLOGON Persistência por login"] C --> E["⚡ ONSTART Persistência no boot"] C --> F["⏱️ Periódico Beaconing C2"] D --> G["🎯 Payload executado contexto SYSTEM"] E --> G F --> G G --> H["📡 C2 estabelecido comúnicação persistente"] ``` **Kimsuky - tarefa disfarçada:** ```mermaid graph TB A["🇰🇷 Alvo sul-coreano governo / academia"] --> B["🎣 Spear-phishing doc HWP/Office malicioso"] B --> C["💾 Dropper executado Stage 1 payload"] C --> D["⏰ schtasks /create ChromeUpdateTaskMachine"] D --> E["🔄 Execução periódica a cada 30 minutos"] E --> F["📡 Beacon C2 Stage 2 / Stage 3"] F --> G["🔍 Reconhecimento Exfiltração documentos"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2003 | schtasks introduzido no Windows XP como substituto ao `at.exe` legado | | 2014 | [[g0022-apt3\|APT3]] documentado usando `schtasks /create /tn "mysc" /sc ONLOGON /ru System` em campanha espionagem | | 2019 | [[g0094-kimsuky\|Kimsuky]] identificado criando tarefa "ChromeUpdateTaskMachine" em alvos sul-coreanos | | 2020 | [[g0060-bronze-butler\|BRONZE BUTLER]] usa schtasks remoto para movimento lateral em redes industriais jáponesas | | 2021 | [[g0016-apt29\|APT29]] manipula tarefas existentes do SolarWinds via schtasks em campanha pós-SUNBURST | | 2023 | Uso generalizado por ransomware (LockBit, BlackCat) para persistência pré-criptografia | | 2024 | Técnica de execução remota via schtasks documentada em múltiplas campanhas de ransomware no Brasil | ## TTPs | ID | Nome | Uso pelo schtasks | |----|------|------------------| | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Criação de tarefas para persistência, execução privilegiada e movimento lateral | ## Atores que Utilizam - [[g0022-apt3|APT3]] - persistência ONLOGON em campanhas de espionagem corporativa - [[g0094-kimsuky|Kimsuky]] - tarefa "ChromeUpdateTaskMachine" em alvos governamentais sul-coreanos - [[g0060-bronze-butler|BRONZE BUTLER]] - movimento lateral remoto em redes industriais jáponesas ## Relevância LATAM/Brasil O abuso de schtasks é universal no ciclo de ataque de ransomware no Brasil. Grupos como LockBit, BlackCat/ALPHV e Cl0p - que têm registrado vitimas brasileiras - usam schtasks como parte do playbook padrão de persistência antes da fase de criptografia. A execução com `/ru "System"` é especialmente relevante porque garante que o payload sejá executado mesmo se a conta de usuário comprometida for desabilitada durante a resposta ao incidente. Em ambientes brasileiros sem monitoramento de criação de tarefas agendadas, grupos de ransomware frequentemente criam múltiplas tarefas redundantes - garantindo persistência mesmo que uma delas sejá removida durante um containment parcial. A detecção requer auditoria ativa de todos os eventos de criação de Scheduled Tasks (Windows Event ID 4698). O uso de schtasks para execução remota é particularmente relevante para SOCs brasileiros: equipes de IR frequentemente encontram schtasks sendo usado para movimento lateral em hosts onde o serviço SMB está bloqueado por controles de segmentação de rede. ## Detecção **Comandos de alto risco:** ``` schtasks /create /tn "..." /tr C:\Users\Public\... /sc ONLOGON /ru "System" schtasks /create /s <host_remoto> /tn "..." /tr <payload> schtasks /run /tn "TaskName" ``` **Fontes de dados recomendadas:** - **Windows Security Event ID 4698:** Criação de Scheduled Task - auditar ALL task creations, especialmente com `/ru System` e paths não-padrão - **Windows Security Event ID 4702:** Modificação de Scheduled Task existente (T1053.005 evasão via task existente) - **Sysmon Event ID 1 (ProcessCreaté):** `schtasks.exe` com parâmetros `/create /ru System /tr <caminho suspeito>` - **Sysmon Event ID 11 (FileCreaté):** Arquivo `.job` criado em `C:\Windows\System32\Tasks\` por processo não-padrão **Regras de detecção:** - Sigma: `proc_creation_win_schtasks_creation.yml` - detecta criação de tarefas com paths suspeitos - Sigma: `proc_creation_win_schtasks_run_as_system.yml` - detecta `/ru System` ou `/ru SYSTEM` - Sigma: `proc_creation_win_schtasks_remote.yml` - detecta parâmetro `/s` para execução remota - Sigma: `win_security_schtasks_new_task.yml` - Event ID 4698 com triggers e paths anômalos ## Referências - [1](https://attack.mitre.org/software/S0111) MITRE ATT&CK - S0111 schtasks (2024) - [2](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/schtasks) Microsoft - Schtasks Reference Documentation (2024) - [3](https://www.mandiant.com/resources/blog/apt3-spear-phishing-campaign) Mandiant - APT3 Spear Phishing Campaign Analysis (2014) - [4](https://us-cert.cisa.gov/ncas/alerts/aa20-301a) CISA - AA20-301A: Kimsuky TTPs and Indicators (2020) - [5](https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware/) The DFIR Report - Ransomware persistence via schtasks (2023)