# T1053.005 - Scheduled Task ## Técnica Pai Esta é uma sub-técnica de [[Job]]. ## Descrição A técnica T1053.005 abrange o abuso do Agendador de Tarefas do Windows (*Windows Task Scheduler*) para executar código malicioso de forma periódica ou na inicialização do sistema. O Agendador de Tarefas é um componente nativo do Windows amplamente utilizado por administradores de sistemas para automação legítima - backups, atualizações, scripts de manutenção -, o que o torna um vetor de persistência especialmente eficaz: tarefas criadas por adversários se misturam organicamente com o ambiente operacional normal, reduzindo drasticamente a probabilidade de detecção em auditorias superficiais. O acesso ao Agendador de Tarefas pode ser feito de múltiplas formas: via `schtasks.exe` na linha de comando, pela interface gráfica em Ferramentas Administrativas, via wrapper .NET, pela biblioteca `netapi32`, e até por [[t1047-windows-management-instrumentation|Windows Management Instrumentation]] (WMI) usando o cmdlet PowerShell `Invoke-CimMethod` com a classe `PS_ScheduledTask`. Essa multiplicidade de métodos de acesso dificulta a defesa baseada em monitoramento de um único vetor. Adversários como [[g0046-fin7|FIN7]], [[g0080-cobalt-group|Cobalt Group]] e [[g0034-sandworm|Sandworm Team]] aproveitam esta técnica tanto para persistência local quanto para execução remota em movimento lateral, configurando tarefas que rodam sob o contexto de SYSTEM ou de contas de serviço privilegiadas. Um aspecto particularmente perigoso é a capacidade de criar tarefas "ocultas": ao deletar o valor de registro Security Descriptor (SD) associado à tarefa (operação que requer privilégio SYSTEM), o adversário impede que `schtasks /query` e a interface gráfica do Task Scheduler listem a tarefa. Alternativamente, manipular o campo `Index` nos metadados de registro da tarefa produz o mesmo efeito de ocultação, tornando a tarefa invisível para ferramentas de auditorias convencionais - um recurso documentado em implantes como [[s0588-goldmax|GoldMax]] e [[s0266-trickbot|TrickBot]]. Esta capacidade se enquadra em [[t1564-hide-artifacts|T1564 - Hide Artifacts]]. **Contexto Brasil/LATAM:** O Brasil figura como um dos países mais afetados globalmente por campanhas de ransomware e fraude financeira que utilizam Scheduled Tasks como mecanismo central de persistência. Grupos como [[g0080-cobalt-group|Cobalt Group]] e [[g0091-silence|Silence]] - especializados em ataques a instituições financeiras - utilizam extensivamente T1053.005 em ataques contra bancos brasileiros, configurando tarefas que disparam payloads de segundo estágio em horários específicos (fora do horário comercial) para minimizar a detecção por analistas do SOC. O [[s0266-trickbot|TrickBot]], amplamente detectado em campanhas contra o setor [[_sectors|financeiro]] nacional, usa tarefas agendadas como principal mecanismo de reinicialização após reboots. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Escalada de Privilégios] B --> C["T1053.005 - Scheduled Task<br/>Persistência + Execução"] C --> D[Movimento Lateral] C --> E[Execução de Payload Final] style C fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O adversário, com privilégios suficientes (usuário padrão para tarefas no contexto do próprio usuário; administrador ou SYSTEM para tarefas de sistema), define o payload a ser executado (script PowerShell, executável, DLL via `rundll32`), o gatilho de execução (horário fixo, logon, inicialização do sistema, evento específico do Event Log) e o contexto de execução desejado. Grupos financeiros preferem gatilhos baseados em horário para execução noturna. 2. **Execução:** A tarefa é criada via um dos vetores disponíveis. O método mais comum observado em incidentes é `schtasks /creaté /tn "NomeLegítimo" /tr "payload.exe" /sc onlogon /ru SYSTEM /f`. Em campanhas mais sofisticadas, [[t1059-001-powershell|PowerShell]] é usado com `Register-ScheduledTask` para criar tarefas com XML customizado, permitindo configurações avançadas de trigger. Para tarefas ocultas, o SD de registro é deletado via `reg delete` com privilégio SYSTEM após a criação. O Agendador pode também ser acionado via [[t1047-windows-management-instrumentation|WMI]] para evitar logging de `schtasks.exe`. 3. **Pós-execução:** A tarefa persiste entre reboots sem necessidade de modificação do registro de inicialização convencional (como `Run` keys), o que evita detecções focadas nesses vetores clássicos. Combinada com [[t1218-system-binary-proxy-execution|System Binary Proxy Execution]], o payload pode ser executado sob o contexto de binários assinados da Microsoft (`mshta.exe`, `wscript.exe`, `regsvr32.exe`), adicionando uma camada extra de evasão. ## Detecção **Fontes de dados:** - **Windows Security Event Log:** Event ID 4698 (criação de tarefa agendada) e 4702 (modificação) - monitorar criação de tarefas por processos não administrativos ou fora do horário comercial - **Windows Security Event Log:** Event ID 4699 (exclusão de tarefa) imediatamente após 4698 - padrão de criação+deleção pode indicar execução única seguida de cobertura de trilhas - **Sysmon Event ID 1** (Process Creaté): `schtasks.exe` com parâmetros `/creaté` - capturar linha de comando completa para análise - **Sysmon Event ID 13** (Registry Value Set): monitorar escrita em `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\` e `\Tree\` - **Auditoria de arquivos XML:** Tarefas são armazenadas como XML em `C:\Windows\System32\Tasks\` - monitorar criação de novos arquivos neste diretório - **Event ID 106 e 200** no Microsoft-Windows-TaskScheduler/Operational: registram criação e execução de tarefas **Sigma Rule:** ```yaml title: Suspicious Scheduled Task Creation via Schtasks or PowerShell id: f3e5d7a9-2b4c-6d8e-0f1a-3b5c7d9e1f2a status: stable description: Detecta criação de tarefas agendadas por processos suspeitos ou com parâmetros indicativos de uso malicioso (T1053.005) references: - T1053.005 logsource: category: process_creation product: windows detection: selection_schtasks: Image|endswith: '\schtasks.exe' CommandLine|contains: - '/creaté' - '-creaté' selection_suspicious_params: CommandLine|contains: - 'SYSTEM' - 'powershell' - 'cmd.exe /c' - 'wscript' - 'mshta' - 'rundll32' - 'regsvr32' - 'AppData' - 'Temp' selection_ps_register: Image|endswith: '\powershell.exe' CommandLine|contains: - 'Register-ScheduledTask' - 'New-ScheduledTask' - 'ScheduledTask' condition: (selection_schtasks and selection_suspicious_params) or selection_ps_register falsepositives: - Scripts de administração legítimos - Software de deployment (SCCM, Ansible) - Produtos de segurança endpoint level: medium tags: - attack.execution - attack.persistence - attack.t1053.005 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir quais usuários e grupos podem criar tarefas agendadas com contexto SYSTEM ou de contas privilegiadas. Implementar política de grupo (GPO) limitando `SeIncreaseQuotaPrivilege` e `SeBatchLogonRight`. No Brasil, aplicar com aténção especial em domínios que incluem sistemas de processamento de pagamentos (SPB, PIX). | | [[m1018-user-account-management\|M1018 - User Account Management]] | Limitar o número de contas com direitos administrativos locais. Implementar PAM (Privileged Access Management) para controlar e auditar o uso de contas privilegiadas - particularmente importante em ambientes de serviços financeiros regulados pelo BACEN. | | [[m1047-audit\|M1047 - Audit]] | Habilitar auditoria avançada para Scheduled Tasks: ativar os Event IDs 4698, 4699, 4700, 4702 no Security Event Log. Configurar alertas no SIEM para criação de tarefas fora do horário comercial ou por processos não autorizados. Implementar baseline de tarefas legítimas e alertar sobre desvios. | | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Configurar GPO para restringir a criação de tarefas via interface gráfica e `schtasks.exe` para usuários não administrativos. Habilitar logging detalhado do Task Scheduler em `Applications and Services Logs\Microsoft\Windows\TaskScheduler\Operational`. | ## Threat Actors - [[g0022-apt3|APT3]] - APT chinês (presumivelmente nexo governamental); pioneiro no uso de Scheduled Tasks para persistência de longo prazo em espionagem corporativa - [[g0080-cobalt-group|Cobalt Group]] - grupo especializado em ataques a ATMs e sistemas bancários; amplamente documentado em ataques contra bancos brasileiros e latino-americanos usando T1053.005 - [[g0091-silence|Silence]] - grupo financeiro russo com histórico de ataques a bancos no Brasil e LATAM; usa tarefas agendadas como vetor primário de persistência pré-ataque a ATMs - [[g0114-chimera|Chimera]] - APT com foco em semicondutores e aviação; usa Scheduled Tasks para manter acesso persistente em redes corporativas de alto valor - [[g0040-patchwork|Patchwork]] - APT de origem indiana; usa tarefas agendadas em campanhas de espionagem contra governos na Ásia e América Latina - [[g1034-daggerfly|Daggerfly]] - APT com nexo chinês; usa T1053.005 para persistência em ataques de espionagem a telecomúnicações - [[g0046-fin7|FIN7]] - grupo financeiro altamente sofisticado com campanha contínua contra o setor varejista; usa Scheduled Tasks para distribuir [[s0335-carbon|Carbon]] e outros payloads - [[g1018-ta2541|TA2541]] - grupo focado em aviação e transporte; usa tarefas agendadas para execução persistente de RATs - [[g0093-gallium|GALLIUM]] - APT chinês com foco em telecomúnicações; usa T1053.005 em conjunto com [[t1047-windows-management-instrumentation|WMI]] para execução lateral - [[g0034-sandworm|Sandworm Team]] - APT russo (GRU); usa Scheduled Tasks para executar [[s0697-hermeticwiper|HermeticWiper]] e outros payloads destrutivos em ataques a infraestrutura crítica ## Software Associado - [[s0588-goldmax|GoldMax]] (malware) - backdoor com capacidade de criar tarefas ocultas via manipulação do Security Descriptor no registro - [[s0648-jss-loader|JSS Loader]] (malware) - loader do [[g0046-fin7|FIN7]] que instala Scheduled Tasks para persistência de segundo estágio - [[s0414-babyshark|BabyShark]] (malware) - malware norte-coreano que usa `schtasks` para garantir re-execução periódica - [[s1014-danbot|DanBot]] (malware) - RAT que cria tarefas agendadas como método de persistência primário - [[s0170-helminth|Helminth]] (malware) - implante de longa duração do APT34 com persistência via Task Scheduler - [[s1015-milan|Milan]] (malware) - backdoor que configura execução via tarefa agendada na inicialização do sistema - [[s0697-hermeticwiper|HermeticWiper]] (malware) - wiper destrutivo usado pelo [[g0034-sandworm|Sandworm Team]]; usa tarefas agendadas para execução coordenada em múltiplos hosts - [[s1166-solar|Solar]] (malware) - implante que usa Task Scheduler para reinicialização persistente - [[s0266-trickbot|TrickBot]] (malware) - banking trojan com ampla presença no Brasil; usa Scheduled Tasks como mecanismo de reinicialização após reboot do sistema - [[s0335-carbon|Carbon]] (malware) - framework de implante sofisticado do [[g0010-turla|Turla]] com persistência via tarefa agendada --- *Fonte: [MITRE ATT&CK - T1053.005](https://attack.mitre.org/techniques/T1053/005)*