# DC0005 — Scheduled Job Metadata ## Descrição O componente de dados **Scheduled Job Metadata** captura informações contextuais sobre tarefas agendadas existentes — incluindo nome da tarefa, caminho de execução, comando e argumentos, horário de disparo, status (ativa/desativada), conta de execução, criador e data de última modificação. Enquanto [[dc0001-scheduled-job-creation]] monitora o ato de criação, este componente provê visibilidade sobre o estado atual e os atributos configurados de tarefas, permitindo auditoria e caça a ameaças em tarefas preexistentes ou modificadas. A consulta de metadados de tarefas agendadas é uma técnica essencial de threat hunting. Adversários frequentemente criam tarefas com nomes que imitam entradas legítimas do Windows (como "MicrosoftEdgeUpdaté", "GoogleUpdateTaskMachine" ou variações sutis), ou modificam tarefas existentes para adicionar ações maliciosas. A análise de metadados — especialmente o campo de comando e a conta de execução — é necessária para distinguir tarefas legítimas de backdoors. Em Windows, metadados de tarefas agendadas são acessíveis via `schtasks /query /fo LIST /v`, PowerShell (`Get-ScheduledTask`) e via inspeção do diretório `C:\Windows\System32\Tasks\`. Em Linux, o conteúdo de `/etc/cron.*`, `/var/spool/cron/crontabs/` e jobs `systemd` contém os metadados equivalentes. Em ambientes de contêiner e cloud, metadados de cronjobs Kubernetes e rules de agendamento de provedores cloud são as fontes relevantes. A comparação de metadados contra uma baseline conhecida é uma das abordagens mais eficazes de threat hunting. Qualquer tarefa não presente no baseline, com caminho de execução em diretório temporário, ou rodando sob contas privilegiadas sem necessidade aparente, deve ser investigada imediatamente. ## Telemetria | Fonte | Método de Coleta | Descrição | |-------|-----------------|-----------| | Windows Task Scheduler | `schtasks /query /fo LIST /v` | Todos os metadados de tarefas existentes | | PowerShell | `Get-ScheduledTask \| Get-ScheduledTaskInfo` | Estado e última execução | | File System | `C:\Windows\System32\Tasks\` | Arquivos XML com definição completa | | Security | 4699, 4700, 4701, 4702 | Deleção, habilitação, desabilitação, modificação | | Linux auditd | `/var/spool/cron/`, `/etc/cron.*` | Arquivos de configuração de cron | ## Queries de Detecção ### KQL — Microsoft Sentinel ```kql // Inventário de tarefas agendadas com caminhos suspeitos DeviceProcessEvents | where FileName =~ "schtasks.exe" | where ProcessCommandLine has "/query" | union ( DeviceFileEvents | where FolderPath startswith @"C:\Windows\System32\Tasks\" | where ActionType in ("FileCreated", "FileModified") ) | project Timestamp, DeviceName, AccountName, ProcessCommandLine, FolderPath, FileName | order by Timestamp desc ``` ### SPL — Splunk ```spl index=wineventlog EventCode IN (4699, 4700, 4701, 4702) | eval action=case( EventCode==4699, "deleted", EventCode==4700, "enabled", EventCode==4701, "disabled", EventCode==4702, "modified" ) | stats count by host, SubjectUserName, action, TaskName | where NOT match(SubjectUserName, "SYSTEM|LOCAL SERVICE|NETWORK SERVICE") | sort -count ``` ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053-scheduled-task-job]] — Persistência via tarefas agendadas (metadados revelam configuração) - [[t1078-valid-accounts|T1078-valid-accounts]] — Tarefas configuradas para executar sob contas privilegiadas roubadas - [[t1036-masquerading|T1036-masquerading]] — Tarefas maliciosas com nomes imitando serviços legítimos - [[t1070-indicator-removal|T1070-indicator-removal]] — Adversários podem modificar ou deletar metadados de tarefas para cobrir rastros > [!tip] Baseline de Tarefas é Fundamental > Mantenha um inventário de tarefas agendadas legítimas por tipo de host (workstation, servidor, controlador de domínio). Qualquer tarefa não presente no baseline merece investigação imediata. Ferramentas como Autoruns (Sysinternals) e scripts de coleta automatizada via Ansible/SCCM facilitam a manutenção de baselines atualizados. ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > Em campanhas de ransomware direcionadas a empresas brasileiras, tarefas agendadas são frequentemente utilizadas tanto para persistência do implante inicial quanto para agendar a execução da criptografia em horários de menor monitoramento (madrugada ou fins de semana). A auditoria regular de metadados de tarefas agendadas — especialmente em servidores de arquivos e controladores de domínio — é uma prática de higiene essencial para detecção precoce de [[t1053-scheduled-task-job|T1053-scheduled-task-job]]. ## Referências - [MITRE ATT&CK — DC0005: Scheduled Job Metadata](https://attack.mitre.org/datasources/DS0003/#Scheduled%20Job%20Metadata) - [Microsoft Docs — Task Scheduler Events](https://docs.microsoft.com/en-us/windows/win32/taskschd/task-scheduler-reference) - [Sysinternals Autoruns](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns)