# T1053 - Tarefa Agendada / Job ## Descrição Adversários abusam de utilitários nativos de agendamento de tarefas dos sistemas operacionais para executar código malicioso em momentos específicos - sejá durante a inicialização do sistema, em intervalos regulares ou em eventos programados. Essa técnica serve simultaneamente a três objetivos táticos: **execução** de payloads, **persistência** entre reinicializações e **escalada de privilégio** quando tarefas são configuradas para rodar em contexto elevado (SYSTEM no Windows, root no Linux). A família T1053 abrange cinco sub-técnicas com relevância operacional distinta por plataforma. No Windows corporativo, o [[t1053-005-scheduled-task|Task Scheduler (T1053.005)]] é a sub-técnica dominante, amplamente abusada por ransomware e APTs para agendar a execução de beacons C2 e o disparo de criptografia em horários específicos. Em ambientes Linux modernos, [[t1053-006-systemd-timers|Systemd Timers (T1053.006)]] oferecem uma alternativa mais sofisticada e persistente ao tradicional [[t1053-003-cron|Cron (T1053.003)]]. Em ambientes containerizados com Kubernetes, CronJobs (T1053.007) permitem persistência orquestrada em clusters inteiros. A simplicidade de criação de tarefas agendadas - combinada com a dificuldade de distinguir tarefas legítimas de maliciosas em ambientes corporativos com centenas de tarefas ativas - torna esta uma das técnicas de persistência mais prevalentes em incidentes reais. Grupos como [[g0016-apt29|Cozy Bear]] criaram tarefas agendadas para manter persistência durante a campanha [[solarwinds-supply-chain-attack|SolarWinds]], executando beacons SUNBURST em intervalos variáveis para evadir detecção por padrão. [[lockbit|LockBit Operators]] usa tarefas agendadas para sincronizar o disparo de criptografia simultaneamente em todos os sistemas comprometidos da rede, geralmente em madrugadas ou feriados. **Contexto Brasil/LATAM:** O T1053 aparece de forma consistente em incidentes de ransomware no Brasil - especialmente em ataques ao setor [[financial]] e à [[government|administração pública]]. Grupos como [[g0032-lazarus-group|Lazarus Group]] e afiliados de [[lockbit|LockBit]] utilizam tarefas agendadas tanto para manter C2 ativo quanto para coordenar ataques destrutivos em horários de menor vigilância dos SOCs. A presença expressiva de Windows Server desatualizado em ambientes corporativos brasileiros facilita a criação e ocultação de tarefas maliciosas. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Estabelecimento de Foothold] B --> C{Plataforma Alvo} C -->|Windows| D["T1053.005<br/>Task Scheduler<br/>schtasks.exe"] C -->|Linux/macOS| E["T1053.003<br/>Cron<br/>crontab -e"] C -->|Linux Moderno| F["T1053.006<br/>Systemd Timers<br/>systemctl enable"] C -->|Containers| G["T1053.007<br/>Kubernetes CronJob"] C -->|Windows Legacy| H["T1053.002<br/>At"] D --> I["ESTA TÉCNICA: T1053<br/>Tarefa Agendada / Job"] E --> I F --> I G --> I H --> I I --> J[Execução Periódica do Payload] I --> K[Persistência após Reboot] I --> L{Contexto de Execução} L -->|SYSTEM/root| M[Escalada de Privilégio] L -->|Usuário| N[Persistência de Usuário] J --> O[C2 Beacon / Exfiltração / Ransomware] K --> O M --> O ``` ## Como Funciona 1. **Preparação** - O adversário obtém execução de código no sistema alvo (via exploração, phishing, credencial comprometida ou movimento lateral). Identifica o mecanismo de agendamento disponível na plataforma e o contexto de execução mais privilegiado acessível. 2. **Criação da Tarefa** - No Windows, usa `schtasks.exe` ou API COM do Task Scheduler para criar tarefas XML definindo gatilho (boot, login, intervalo de tempo) e ação (executar payload). No Linux, edita `crontab` ou instala unidades systemd timer/service. O payload geralmente aponta para um executável em caminho incomum (`AppData\Roaming`, `/tmp`, `/dev/shm`) ou baixa e executa via PowerShell/curl. 3. **Pós-execução** - A tarefa dispara automaticamente conforme agendado. Adversários sofisticados randomizam o intervalo de execução para evadir detecção por padrão (ex: APT29 no caso SolarWinds usava delays aleatórios entre 12-14 dias antes de ativar C2). A tarefa pode ser configurada para se auto-deletar após execução (`schtasks /delete`) ou para se reinstalar via um segundo mecanismo de persistência. **Exemplo Windows - criação de tarefa de persistência:** ```cmd schtasks /creaté /tn "WindowsUpdateHelper" /tr "powershell -enc [BASE64]" ^ /sc ONLOGON /ru SYSTEM /f ``` **Exemplo Linux - entrada cron maliciosa:** ```bash # Crontab de root - executa beacon a cada 15 minutos */15 * * * * /tmp/.sysupdaté > /dev/null 2>&1 ``` ## Grupos que Utilizam Esta Técnica %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Ator", origin AS "Origem" FROM "cti/groups" WHERE contains(techniques, this.file.link) ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Ator", origin AS "Origem" FROM "cti/groups" WHERE contains(techniques, this.file.link) --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Ator", origin AS "Origem" FROM "cti/groups" WHERE contains(techniques, this.file.link) --> | Nota | Ator | Origem | | ------------------------------------------------ | -------------- | --------------------------------------- | | [[g0036-gcman\|GCMAN]] | GCMAN | Rússia | | [[ransom-hub\|RansomHub]] | RansomHub | Desconhecida (provavelmente Rússia/CIS) | | [[cti/groups/rhysida.md\|Rhysida]] | Rhysida | Suspeito Russofono | | [[cti/groups/vice-society.md\|Vice Society]] | Vice Society | Russia (provavel, falantes de russo) | | [[void-manticore\|Void Manticore]] | Void Manticore | Irã | <!-- SerializedQuery END --> ## Detecção **Fontes de dados:** Windows Security Event Log (Event ID 4698 - tarefa criada, 4702 - tarefa modificada), Sysmon (EventID 11 criação de arquivo, EventID 1 criação de processo por `schtasks.exe`), auditd no Linux, PowerShell Script Block Logging, EDR telemetria de processo. ```yaml title: Criação de Tarefa Agendada por Processo Não Administrativo id: c3d4e5f6-a7b8-9012-cdef-123456789012 status: experimental description: > Detecta criação de tarefas agendadas Windows por processos que não são ferramentas legítimas de administração - padrão comum em T1053.005. logsource: product: windows service: security detection: selection: EventID: 4698 filter_legitimate: SubjectUserName|contains: - 'SYSTEM' - 'sccmadmin' - 'ansible' filter_paths: TaskContent|contains: - 'C:\Windows\System32\' - 'C:\Program Files\' condition: selection and not filter_legitimate and not filter_paths falsepositives: - Ferramentas de gerenciamento de configuração (SCCM, Ansible, Puppet) - Instaladores legítimos de software enterprise level: medium tags: - attack.persistence - attack.execution - attack.privilege_escalation - attack.t1053 ``` **Sinais de alerta específicos:** - Tarefas criadas fora de horário comercial por contas que não são de TI - Tarefas referênciando caminhos em `AppData`, `Temp`, `ProgramData`, `/tmp` ou `/dev/shm` - Tarefas com argumentos PowerShell codificados em Base64 ou com `-EncodedCommand` - Múltiplas tarefas criadas rapidamente em sequência (padrão de automação de ataque) - Tarefas com nomes que imitam tarefas legítimas do Windows (ex: `WindowsDefenderUpdaté`, `MicrosoftEdgeUpdaté`) - Modificações em `/etc/crontab` ou `/var/spool/cron/` por usuários não-root ## Mitigação | Mitigação | Recomendação | |-----------|-------------| | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente todas as tarefas agendadas do sistema. Usar `schtasks /query /fo LIST /v` no Windows e `crontab -l` + conteúdo de `/etc/cron.*` no Linux. Implementar baseline de tarefas legítimas e alertar sobre desvios. | | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Habilitar a política de auditoria de Criação de Tarefas Agendadas no Windows (Advanced Audit Policy - Object Access). Considerar restringir `schtasks.exe` via AppLocker/WDAC a grupos administrativos específicos. | | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir permissão de criação de tarefas agendadas a grupos administrativos dedicados. Remover permissão de criação de tarefas de contas de usuário padrão via GPO. | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Aplicar MFA em todas as contas com capacidade de criar tarefas que rodam como SYSTEM. Implementar JIT (Just-In-Time) para acesso privilegiado em servidores críticos. | ## Sub-técnicas | ID | Nome | Plataforma | Prevalência | |----|------|-----------|-------------| | [[t1053-002-at\|T1053.002]] | At | Windows, Linux | Baixa (legacy) | | [[t1053-003-cron\|T1053.003]] | Cron | Linux, macOS | Alta | | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Windows | Muito Alta | | [[t1053-006-systemd-timers\|T1053.006]] | Systemd Timers | Linux | Média (crescente) | | T1053.007 | Container Orchestration Job | Containers | Baixa (crescente) | ## Referências *Fonte: [MITRE ATT&CK - T1053](https://attack.mitre.org/techniques/T1053)*