det0333-cross-platform-detection-of-scheduled-taskjob-abuse-via-at-utility

# DET0333 — Cross-Platform Detection of Scheduled Task/Job Abuse via `at` Utility ## Descrição Esta estratégia detecta o abuso do utilitário `at` — disponível em Windows, Linux e macOS — para agendar execução de tarefas maliciosas, estabelecer persistência ou executar comandos com delays para dificultar a correlação temporal com o evento de comprometimento inicial. A técnica [[T1053.002-at]] é uma das mais antigas de agendamento de tarefas e continua relevante por sua simplicidade. Em Windows, `at.exe` foi substituído pelo Agendador de Tarefas (`schtasks.exe`) mas ainda está disponível em sistemas legados. Em Linux/macOS, o daemon `atd` processa jobs criados via `at`. A detecção cross-platform correlaciona criação de jobs via `at` com o contexto de execução — usuário, horário, conteúdo do comando e comportamento subsequente. A técnica é frequentemente utilizada para executar payloads após um delay de horas ou dias após o comprometimento inicial, tornando a correlação com o vetor de entrada mais difícil. Monitorar a fila de jobs `at` e alertar para criações incomuns é fundamental. ## Indicadores de Detecção - Criação de jobs via `at` por usuários não-administrativos ou contas de serviço - Job `at` referênciando scripts em diretórios temporários ou caminhos de rede - Uso de `at` seguido de job contendo comandos de rede, download ou execução de payload - Em Linux: modificações em `/var/spool/cron/atjobs/` por processos não-root - Job `at` criado com delay longo (horas/dias) em contexto pós-comprometimento - `atd` daemon sendo iniciado em sistemas onde não estava ativo anteriormente ## Técnicas Relacionadas - [[T1053.002-at]] — técnica primária - [[t1053-scheduled-task-job|T1053-scheduled-task-job]] — categoria pai - [[T1053.005-scheduled-task]] — alternativa moderna em Windows (schtasks) - [[T1053.003-cron]] — equivalente em Linux/macOS via crontab - [[t1078-valid-accounts|T1078-valid-accounts]] — credenciais utilizadas para criar jobs `at` privilegiados ## Analytics Relacionadas - [[an0943-analytic-0943|AN0943 — Analytic 0943]] - [[an0944-analytic-0944|AN0944 — Analytic 0944]] - [[an0945-analytic-0945|AN0945 — Analytic 0945]] --- *Fonte: [MITRE ATT&CK — DET0333](https://attack.mitre.org/detectionstrategies/DET0333)*