det0094-cross-platform-behavioral-detection-of-scheduled-taskjob-abuse

# DET0094 — Cross-Platform Behavioral Detection of Scheduled Task/Job Abuse ## Descrição Esta estratégia detecta o abuso de mecanismos de agendamento de tarefas em múltiplas plataformas para persistência e execução: Windows Task Scheduler, cron jobs em Linux/macOS, systemd timers, e AT jobs. O agendamento de tarefas é uma das técnicas de persistência mais utilizadas por sua confiabilidade, baixo ruído e capacidade de sobreviver a reinicializações sem modificar o registro. No Windows, os indicadores incluem: criação de tarefas via `schtasks /creaté` ou API do Task Scheduler com ações apontando para binários em diretórios não-padrão, tarefas criadas por processos não administrativos legítimos, e modificação de tarefas existentes do sistema para adicionar ações maliciosas. No Linux/macOS: entradas em `/etc/cron*`, `/var/spool/cron` ou arquivos `.plist` de LaunchAgent/LaunchDaemon com comandos de download/execução. A correlação entre criação de tarefa e execução subsequente incomum é o sinal mais forte. Tarefas criadas com usuário `SYSTEM` mas apontando para arquivos em diretórios de perfil de usuário são altamente suspeitas. Grupos como [[g0096-apt41]], [[g0129-mustang-panda]] e operadores de ransomware como [[lockbit]] utilizam agendamento de tarefas extensivamente para garantir persistência e execução de payloads de segundo estágio. ## Indicadores de Detecção - `schtasks /creaté` com `/tr` apontando para `%TEMP%`, `%APPDATA%` ou `C:\Users\Public` - Tarefas agendadas criadas por processos filho de `Office`, `browser` ou outros aplicativos de usuário - Modificação de XMLs de tarefas em `C:\Windows\System32\Tasks\` por processos não-SYSTEM - Entradas de cron em `/etc/cron.d` ou `/var/spool/cron` com comandos `curl | bash` ou `wget -O - | sh` - Tarefas com triggers de logon ou boot executando scripts em diretórios temporários - Systemd unit files criados em `~/.config/systemd/user/` com execução de binários não assinados ## Técnicas Relacionadas - [[t1053005-scheduled-task]] — Agendamento de tarefas Windows - [[t1053003-cron]] — Cron jobs Linux/macOS - [[t1053006-systemd-timers]] — Timers systemd - [[t1053-scheduled-task-job]] — Categoria pai - [[t1547001-registry-run-keys-startup-folder]] — Persistência alternativa correlacionada ## Analytics Relacionadas - [[an0258-analytic-0258|AN0258 — Analytic 0258]] - [[an0259-analytic-0259|AN0259 — Analytic 0259]] - [[an0260-analytic-0260|AN0260 — Analytic 0260]] - [[an0261-analytic-0261|AN0261 — Analytic 0261]] - [[an0262-analytic-0262|AN0262 — Analytic 0262]] --- *Fonte: [MITRE ATT&CK — DET0094](https://attack.mitre.org/detectionstrategies/DET0094)*