# DC0012 — Scheduled Job Modification ## Descrição O componente de dados **Scheduled Job Modification** registra alterações em tarefas agendadas já existentes — incluindo modificações nos parâmetros de execução, payload de comando, horário de disparo, conta de execução e estado de habilitação. Esta é uma técnica de persistência mais furtiva que a criação de novas tarefas, pois adversários modificam entradas legítimas do sistema para incorporar ações maliciosas, dificultando a detecção por análises baseadas em "novas entradas". A modificação de tarefas agendadas pode ocorrer de várias formas: via `schtasks.exe /change`, PowerShell `Set-ScheduledTask`, edição direta dos arquivos XML em `C:\Windows\System32\Tasks\`, ou via APIs COM do Task Scheduler. Um padrão comum é adicionar uma ação secundária a uma tarefa legítima (como Windows Updaté ou antivírus) que executa um payload malicioso além da ação original, tornando a tarefa "transparente" para inspeção superficial. O Windows registra modificações de tarefas no Security Event Log com o Event ID 4702 ("A scheduled task was updated"). Este evento é crítico para detecção mas frequentemente subvalorizado em configurações de SIEM. Além do evento de modificação, a análise de integridade de arquivos nas tarefas (`C:\Windows\System32\Tasks\`) por soluções FIM (File Integrity Monitoring) fornece visibilidade adicional sobre alterações diretas no sistema de arquivos. Adversários que obtêm privilégios elevados em um sistema frequentemente buscam tarefas existentes para "injetar" ações maliciosas, aproveitando o contexto de execução da tarefa original (que pode rodar como SYSTEM ou conta de serviço privilegiada). Esta técnica é particularmente perigosa em ambientes corporativos onde tarefas de manutenção rodam sob contas de serviço com acesso amplo. ## Telemetria | Fonte | Event ID | Descrição | |-------|----------|-----------| | Security | 4702 | A scheduled task was updated | | Microsoft-Windows-TaskScheduler/Operational | 140 | Task updated | | Sysmon | 11 | Modificação de arquivo XML em Tasks\ | | Sysmon | 1 | Execução de schtasks.exe com parâmetro /change | | FIM (File Integrity Monitoring) | N/A | Alterações em C:\Windows\System32\Tasks\ | ## Queries de Detecção ### KQL — Microsoft Sentinel ```kql // Detecta modificações de tarefas agendadas fora do horário comercial ou por contas suspeitas SecurityEvent | where EventID == 4702 | extend TaskName = tostring(parse_xml(EventData).DataElement[4]["#text"]) | extend NewContent = tostring(parse_xml(EventData).DataElement[5]["#text"]) | where SubjectUserName !endswith "quot; | where SubjectUserName !in~ ("SYSTEM", "LOCAL SERVICE", "NETWORK SERVICE") | where NewContent has_any ("%TEMP%", "%APPDATA%", "powershell", "cmd.exe", "mshta") | project TimeGenerated, Computer, SubjectUserName, TaskName, NewContent | order by TimeGenerated desc ``` ### SPL — Splunk ```spl index=wineventlog EventCode=4702 | rex field=Message "Task Name:\s+(?P<task_name>[^\n]+)" | rex field=Message "New Task Content:\s+(?P<new_content>[\s\S]+)" | where match(new_content, "(?i)(%temp%|%appdata%|powershell|cmd\.exe|mshta|wscript)") | table _time, host, SubjectUserName, task_name, new_content | sort -_time ``` ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053-scheduled-task-job]] — Modificação de tarefas para execução agendada de payloads - [[t1036-masquerading|T1036-masquerading]] — Modificação de tarefas com nomes legítimos para ocultar ações maliciosas - [[t1562-impair-defenses|T1562-impair-defenses]] — Modificação de tarefas de segurança para desabilitar proteções - [[t1078-valid-accounts|T1078-valid-accounts]] — Uso de contas privilegiadas para modificar tarefas do sistema > [!tip] Monitorar Event ID 4702 é Subestimado > O Event ID 4702 (task modification) é frequentemente ignorado em favor de 4698 (task creation). No entanto, técnicas avançadas de persistência preferem modificar tarefas existentes justamente porque a criação de novas tarefas gera mais alertas. Garanta que Event ID 4702 está sendo coletado e correlacionado com outros indicadores de comprometimento. ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > Incidentes de comprometimento de infraestrutura em empresas de médio porte no Brasil frequentemente revelam, em análise forense, modificações em tarefas agendadas legítimas (como tarefas de backup ou atualização) que foram alteradas para incluir execução de RATs ou downloaders. O monitoramento do Event ID 4702 e FIM em `C:\Windows\System32\Tasks\` deve ser prioritário em ambientes onde o controle de acesso privilegiado não está completamente maduro. ## Referências - [MITRE ATT&CK — DC0012: Scheduled Job Modification](https://attack.mitre.org/datasources/DS0003/#Scheduled%20Job%20Modification) - [Microsoft Docs — Event ID 4702](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4702) - [MITRE ATT&CK — T1053: Scheduled Task/Job](https://attack.mitre.org/techniques/T1053/)