# DC0001 — Scheduled Job Creation ## Descrição O componente de dados **Scheduled Job Creation** registra o estabelecimento de tarefas ou jobs que serão executados em horário predefinido ou mediante gatilhos específicos. No Windows, isso engloba Tarefas Agendadas (Task Scheduler), jobs AT e serviços configurados para início automático. Em Linux/macOS, inclui entradas de crontab, jobs `at` e launchd plists. Em ambientes cloud, abrange AWS Lambda triggers, Azure Functions, GCP Cloud Scheduler e similares. Este é um dos mecanismos de persistência mais utilizados por adversários. Após comprometimento inicial, a criação de uma tarefa agendada garante que o payload sejá reexecutado mesmo após reinicialização do sistema, sem depender de chaves de registro ou serviços facilmente detectáveis. A técnica é coberta por [[t1053-scheduled-task-job|T1053-scheduled-task-job]] no MITRE ATT&CK e suas sub-técnicas (T1053.001 a T1053.007). O monitoramento de criação de tarefas agendadas é realizado principalmente pelo **Security Event Log** (Event ID 4698 — "A scheduled task was created") e pelos logs do Agendador de Tarefas do Windows (`Microsoft-Windows-TaskScheduler/Operational`). Em sistemas Unix, auditd pode capturar modificações em `/etc/crontab`, `/var/spool/cron/` e diretórios `/etc/cron.*`. Adversários frequentemente criam tarefas com nomes que imitam processos legítimos do sistema, configuram execução em horários fora do expediente e utilizam caminhos de execução em `%TEMP%` ou `%APPDATA%` para evadir inspeção. A análise do nome da tarefa, do caminho do executável e do processo criador são os principais indicadores de comprometimento. ## Telemetria | Fonte | Event ID | Descrição | |-------|----------|-----------| | Security | 4698 | A scheduled task was created | | Microsoft-Windows-TaskScheduler/Operational | 106 | Task registered | | Sysmon | 1 | Process Creation via schtasks.exe ou taskeng.exe | | Sysmon | 11 | File Creation em diretório de tarefas agendadas | | Linux auditd | N/A | Criação/modificação de arquivos em /var/spool/cron/ | ## Queries de Detecção ### KQL — Microsoft Sentinel ```kql // Detecta criação de tarefas agendadas por processos não administrativos SecurityEvent | where EventID == 4698 | extend TaskName = tostring(parse_xml(EventData).DataElement[4]["#text"]) | extend TaskContent = tostring(parse_xml(EventData).DataElement[5]["#text"]) | where SubjectUserName !endswith "quot; | where TaskContent has_any ("%TEMP%", "%APPDATA%", "powershell", "cmd.exe", "wscript") | project TimeGenerated, Computer, SubjectUserName, TaskName, TaskContent | order by TimeGenerated desc ``` ### SPL — Splunk ```spl index=wineventlog EventCode=4698 | rex field=Message "Task Name:\s+(?P<task_name>[^\n]+)" | rex field=Message "Task Content:\s+(?P<task_content>[\s\S]+)" | where match(task_content, "(?i)(%temp%|%appdata%|powershell|cmd\.exe|wscript|cscript)") | stats count by host, SubjectUserName, task_name | sort -count ``` ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053-scheduled-task-job]] — Persistência e execução via tarefas agendadas (Windows, Linux, macOS, cloud) - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — Scripts executados pelas tarefas criadas - [[t1543-create-or-modify-system-process|T1543-creaté-or-modify-system-process]] — Serviços criados junto com tarefas para redundância - [[t1078-valid-accounts|T1078-valid-accounts]] — Tarefas criadas com credenciais roubadas de contas privilegiadas > [!tip] Atenção ao Criador da Tarefa > O campo "Task Creator" no Event ID 4698 é crucial. Tarefas criadas por `schtasks.exe` como filho de processos incomuns (Office, navegadores, intérpretes de script) são fortemente suspeitas. Monitore também a criação de tarefas com ações apontando para caminhos temporários. ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > Operadores de ransomware que atacam empresas brasileiras — incluindo grupos como [[lockbit]] e [[blackcat]] — frequentemente criam tarefas agendadas como mecanismo de persistência e para coordenar a execução da criptografia em horários de menor atividade. SOCs devem correlacionar Event ID 4698 com criações suspeitas fora do horário comercial e com caminhos de execução não padronizados. ## Referências - [MITRE ATT&CK — DC0001: Scheduled Job Creation](https://attack.mitre.org/datasources/DS0003/#Scheduled%20Job%20Creation) - [Microsoft Docs — Event ID 4698](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4698) - [MITRE ATT&CK — T1053: Scheduled Task/Job](https://attack.mitre.org/techniques/T1053/)