Technique - T1053-

T1053 - Scheduled Task/Job

概要

Adversaries may abuse task scheduling functionality to facilitate initial or recurring execution of malicious code. Utilities exist within all major operating systems to schedule programs or scripts to be executed at a specified date and time. A task can also be scheduled on a remote system, provided the proper authentication is met (ex: RPC and file and printer sharing in Windows environments). Scheduling a task on a remote system typically may require being a member of an admin or otherwise privileged group on the remote system.(Citation: TechNet Task Scheduler Security)

Adversaries may use task scheduling to execute programs at system startup or on a scheduled basis for persistence. These mechanisms can also be abused to run a process under the context of a specified account (such as one with elevated permissions/privileges). Similar to System Binary Proxy Execution, adversaries have also abused task scheduling to potentially mask one-time execution under a trusted system process.(Citation: ProofPoint Serpent)

管理者によるコメント

T1053「Scheduled Task/Job」（スケジュールされたタスク/ジョブ） は、攻撃者がOS標準のタスクスケジューリング機能を利用して、指定した時間やイベントに合わせて悪意のあるコードを実行する手法です。

Windowsの「タスクスケジューラ」や、Linuxの「cron」などが対象となります。

1. 概要

この手法で攻撃者は、「自動化されたコード実行と、強固な永続化」を実現します。

何を実現できるのか

永続化 (Persistence): システムの起動時やユーザーのログイン時にマルウェアが自動実行されるようにし、再起動後も侵害状態を維持します。
権限昇格 (Privilege Escalation): 高権限（SYSTEMやroot）のユーザーとしてタスクを登録することで、一般ユーザーの権限を越えた操作を実行します。
実行の遅延・回避: 侵入直後ではなく、数時間後や数日後に実行されるようにスケジュールし、セキュリティ担当者の目やサンドボックス検知を欺きます。

2. 攻撃の流れ

プラットフォームごとに、攻撃者は正規の管理コマンドを悪用します。

Windows タスクスケジューラ (T1053.005):
- schtasks.exe コマンドや PowerShell を使用してタスクを登録します。
- 例: schtasks /create /tn "Update" /tr "C:\malware.exe" /sc hourly (1時間おきに実行)
Linux/Unix cron (T1053.003):
- crontab ファイルを書き換え、特定の時間にスクリプトが動くように設定します。
- 例: echo "* * * * * /tmp/backdoor.sh" | crontab - (毎分実行)
Windows At (T1053.002):
- 古いWindowsで使用されていた at.exe（現在は schtasks に統合）を利用したリモート実行。

3. 防御・対策

「勝手に作られたタスク」をいかに早く見つけるかが重要です。

タスク登録の監視: Windowsイベントログの Event ID 4698（スケジュールされたタスクが作成された）を有効化し、監視します。
権限の制限: 一般ユーザーがシステム全体に影響するタスクを作成・変更できないよう、権限を制限します。
不審なディレクトリの実行禁止: Temp フォルダや AppData 内のプログラムをタスクとして実行する設定がないか、定期的に監査します。
ホワイトリスト化: 組織内で許可されている「正規のタスク一覧」を作成し、それ以外の未知のタスクが登録された際にアラートを上げる仕組みを構築します。

4. 重要ポイント

「正規プロセス」への擬態: 攻撃者はタスク名を Windows Update や OneDrive Maintenance のように、システム標準の機能に見せかけて隠蔽します。
ファイルレスとの組み合わせ: プログラムファイル（.exe）を置かずに、タスクの引数に直接 PowerShell の難読化スクリプトを書き込むことで、検知を困難にします。

5. 関連する主なCWE

CWE-15: External Control of System or Configuration Setting: 外部からシステム設定（タスク）を操作されてしまう不備。
CWE-269: Improper Privilege Management: 本来許可されるべきでないユーザーに、高権限のタスク作成を許してしまう不備。

6. 関連する代表的なCVE・事例

CVE-2010-2568: Stuxnetなどで悪用された、LNKショートカットファイルの脆弱性。タスクスケジューラ経由での実行にも深く関わりました。
Ryuk / Conti (ランサムウェア): 感染後の永続化手段として、タスクスケジューラに自身を登録し、PCが起動するたびに暗号化の準備やC2通信を行う手法を多用しました。
Dragonfly (APTグループ): エネルギーインフラを狙う攻撃の中で、schtasks を利用してリモートからバックドアを設置・維持したことが報告されています。

調査のアドバイス

Windowsの場合、schtasks /query /fo LIST /v コマンドを叩くことで、現在登録されている全タスクの詳細情報を確認できます。特に「作成者」や「実行されるプログラムのパス」に注目してください。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design