Perché il Task Scheduler è diventato il peggior incubo dei team di sicurezza

Redazione RHC : 25 Agosto 2025 15:04

Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard.

A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema, consentendo agli autori delle minacce di persistere senza dover distribuire file binari aggiuntivi o toolchain complesse. Le infezioni iniziali solitamente si manifestano tramite e-mail di phishing o exploit kit che distribuiscono loader leggeri che diventano rapidamente persistenti.

Dopo aver ultimato l’esecuzione sull’endpoint, i ricercatori di sicurezza hanno rilevato che gli aggressori utilizzano il file binario schtasks.exe o i cmdlet di PowerShell al fine di programmare nuove attività o variare quelle già presenti. Ulteriore complessità nel rilevamento è data dal fatto che queste attività possono utilizzare l’account SYSTEM. In numerosi casi, i team di risposta agli incidenti hanno scoperto attività denominate in modo da imitare servizi Windows legittimi, come “TelemetryUpdater” o “HealthCheck”, ma che puntavano a file eseguibili archiviati in directory non convenzionali in C:ProgramDataSystem.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I primi campioni erano mirati agli istituti finanziari, mentre le campagne più recenti si sono estese ai settori delle infrastrutture critiche, evidenziando l’ampia applicabilità e i bassi costi operativi dell’abuso delle attività pianificate. Gli analisti di DFIR Spot hanno notato che il malware si affida a trigger come LogonTriggere TimeTrigger, configurati per essere eseguiti ogni cinque minuti o a ogni accesso dell’utente.

Questo approccio consente ai componenti dannosi di integrarsi nelle normali attività del sistema, ritardando l’analisi e la correzione. I payload successivi forniti tramite queste attività spaziano dai binari per il coin mining agli strumenti di amministrazione remota. Una volta registrate, le attività spesso si aggiornano automaticamente richiamando script di PowerShell che estraggono moduli aggiuntivi o modificano gli argomenti della riga di comando.

Poiché i registri di Task Scheduler possono essere cancellati o disabilitati dagli aggressori, molte organizzazioni hanno avuto difficoltà a ricostruire le tempistiche senza la telemetria EDR arricchita. Dopo la creazione, il processo viene eseguito con privilegi di SISTEM, avviando un loader di secondo stadio che contatta un C2 remoto o un repository di payload.

Incorporando l’eseguibile in percorsi non standard e sfruttando in modo improprio le funzionalità di pianificazione native, gli autori delle minacce ottengono la persistenza senza richiedere framework di sfruttamento aggiuntivi. Le strategie di rilevamento devono includere una rigorosa definizione delle attività pianificate legittime, il monitoraggio dei registri TaskScheduler/Operational per l’ID evento 106 (attività registrata) e l’applicazione di policy di audit avanzate per acquisire le voci dell’ID evento 4698.

Combinando questi registri con l’analisi della discendenza dei processi basata su EDR è possibile individuare modelli anomali di creazione di attività che si discostano dalle normali operazioni amministrative.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli