det0441-detection-of-suspicious-scheduled-task-creation-and-execution-on-windows

# DET0441 — Detection of Suspicious Scheduled Task Creation and Execution on Windows ## Descrição Tarefas agendadas (Scheduled Tasks) são um mecanismo de persistência amplamente explorado por adversários no Windows. Por meio de ferramentas como `schtasks.exe`, `at.exe` ou a API COM do Task Scheduler, atacantes registram tarefas que executam payloads maliciosos em intervalos regulares, na inicialização do sistema ou mediante eventos específicos — garantindo persistência mesmo após reinicializações. Grupos APT como [[g0032-lazarus-group|Lazarus Group]], [[g0016-apt29|APT29]] e operadores de ransomware frequentemente utilizam essa técnica para manter acesso em ambientes comprometidos. As tarefas são frequentemente disfarçadas com nomes que imitam processos legítimos do Windows (ex: `WindowsUpdaté`, `GoogleUpdateCore`) e podem ser configuradas para executar payloads codificados em Base64, scripts PowerShell ou binários localizados em diretórios ocultos. A detecção eficaz envolve auditar a criação de tarefas agendadas via evento Windows 4698, monitorar processos filhos criados pelo Task Scheduler com linha de comando suspeita, e correlacionar tarefas recém-criadas com comportamentos de rede ou execução de payloads. A combinação de EDR e análise de logs de eventos Windows é essencial para cobertura completa. ## Indicadores de Detecção - Evento Windows 4698 (tarefa agendada criada) com `TaskName` incomum ou que imita processos do sistema - Linha de comando de `schtasks.exe /creaté` contendo argumentos PowerShell, Base64 ou URL remota - Tarefa agendada criada por processo não administrativo ou fora de horário de manutenção - Processo filho de `taskhost.exe`, `taskhostw.exe` ou `svchost.exe` executando PowerShell ou cmd com argumentos suspeitos - Tarefa configurada com trigger `OnLogon` ou `OnBoot` apontando para executável em diretório temporário - Arquivo XML de tarefa em `C:\Windows\System32\Tasks\` com hash não reconhecido ## Técnicas Relacionadas - [[T1053005-scheduled-task|T1053.005 — Scheduled Task]] - [[T1059001-powershell|T1059.001 — PowerShell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1036-masquerading|T1036 — Masquerading]] - [[T1547001-registry-run-keys|T1547.001 — Registry Run Keys / Startup Folder]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] ## Analytics Relacionadas - [[an1221-analytic-1221|AN1221 — Analytic 1221]] --- *Fonte: [MITRE ATT&CK — DET0441](https://attack.mitre.org/detectionstrategies/DET0441)*