Perché il Task Scheduler è diventato il peggior incubo dei team di sicurezza

Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard.

A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema, consentendo agli autori delle minacce di persistere senza dover distribuire file binari aggiuntivi o toolchain complesse. Le infezioni iniziali solitamente si manifestano tramite e-mail di phishing o exploit kit che distribuiscono loader leggeri che diventano rapidamente persistenti.

Dopo aver ultimato l’esecuzione sull’endpoint, i ricercatori di sicurezza hanno rilevato che gli aggressori utilizzano il file binario schtasks.exe o i cmdlet di PowerShell al fine di programmare nuove attività o variare quelle già presenti. Ulteriore complessità nel rilevamento è data dal fatto che queste attività possono utilizzare l’account SYSTEM. In numerosi casi, i team di risposta agli incidenti hanno scoperto attività denominate in modo da imitare servizi Windows legittimi, come “TelemetryUpdater” o “HealthCheck”, ma che puntavano a file eseguibili archiviati in directory non convenzionali in C:ProgramDataSystem.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I primi campioni erano mirati agli istituti finanziari, mentre le campagne più recenti si sono estese ai settori delle infrastrutture critiche, evidenziando l’ampia applicabilità e i bassi costi operativi dell’abuso delle attività pianificate. Gli analisti di DFIR Spot hanno notato che il malware si affida a trigger come LogonTriggere TimeTrigger, configurati per essere eseguiti ogni cinque minuti o a ogni accesso dell’utente.

Questo approccio consente ai componenti dannosi di integrarsi nelle normali attività del sistema, ritardando l’analisi e la correzione. I payload successivi forniti tramite queste attività spaziano dai binari per il coin mining agli strumenti di amministrazione remota. Una volta registrate, le attività spesso si aggiornano automaticamente richiamando script di PowerShell che estraggono moduli aggiuntivi o modificano gli argomenti della riga di comando.

Poiché i registri di Task Scheduler possono essere cancellati o disabilitati dagli aggressori, molte organizzazioni hanno avuto difficoltà a ricostruire le tempistiche senza la telemetria EDR arricchita. Dopo la creazione, il processo viene eseguito con privilegi di SISTEM, avviando un loader di secondo stadio che contatta un C2 remoto o un repository di payload.

Incorporando l’eseguibile in percorsi non standard e sfruttando in modo improprio le funzionalità di pianificazione native, gli autori delle minacce ottengono la persistenza senza richiedere framework di sfruttamento aggiuntivi. Le strategie di rilevamento devono includere una rigorosa definizione delle attività pianificate legittime, il monitoraggio dei registri TaskScheduler/Operational per l’ID evento 106 (attività registrata) e l’applicazione di policy di audit avanzate per acquisire le voci dell’ID evento 4698.

Combinando questi registri con l’analisi della discendenza dei processi basata su EDR è possibile individuare modelli anomali di creazione di attività che si discostano dalle normali operazioni amministrative.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.