Tehdit aktörleri, sürekli değişen siber güvenlik tehditleri dünyasında kalıcılık yaratmak için planlanan görevleri ve diğer yerleşik pencere özelliklerini kullanmaya devam eder ve sıklıkla dış araçlara veya karmaşık sıfır gün istismarlarına ihtiyaçtan kaçınır.
2025 itibariyle, rootkits ve ölü damla komuta ve kontrol (C2) mekanizmaları gibi saldırı tekniklerindeki gelişmelere rağmen, geleneksel yöntemler etkinlikleri, düşük algılama riskleri ve meşru sistem operasyonlarıyla sorunsuz entegrasyon nedeniyle yaygındır.
Yerel Windows özellikleri
Planlanan görevler, zamana dayalı aralıklardan kullanıcı oturum açma veya önyükleme gibi sistem olaylarına kadar değişen önceden tanımlanmış tetikleyicilere dayanan programların, komut dosyalarının veya komutların otomatik olarak yürütülmesini etkinleştirir. Rakiplerin başlangıç erişim aracılığı, yanal hareket veya fidye yazılımı dağıtım dahil olmak üzere erişimi korumasına izin verir.
Rapora göre, bu yerel özellik, kötü niyetli etkinlikleri rutin sistem davranışıyla harmanlıyor ve aktörlerin karmaşıklık konusunda gizliliğe öncelik verdiği olaylarda tercih edilen bir taktik haline getiriyor.
Örneğin, fidye yazılımı operatörleri, Sysvol veya Admin $ gibi hisse senetlerinden şifrelemeleri yürütmek için yüzlerce uç noktada uzak görevler oluştururken, diğerleri, kötü amaçlı görevleri alan çapında dağıtmak için grup politika nesnelerini değiştirerek anormal ikili ikili tanıtmadan etkilerini artırır.
Teknik bir bakış açısından, planlanan görevler schtasks.exe, win32_scheduledjob üzerinden WMI, hatta görev zamanlayıcı GUI gibi schtasks.exe, powerShell cmdletleri gibi çeşitli arayüzler aracılığıyla yönetilir, her biri farklı forelikli eserler bırakır.
Araştırma Pivotları
Anahtar bileşenler, yürütme koşullarını tanımlayan tetikleyiciyi (örneğin, belirli bir zamanda veya oturum açarken) ve çalışmayı, çalıştırılacak komutu veya komut dosyasını, genellikle sistem gibi yükseltilmiş ayrıcalıklar altında belirtir.
C: \ Windows \ System32 \ görevleri veya alt dizinlerinde depolanan XML dosyaları bu ayrıntıları, kayıt bilgilerini (kullanıcı bağlamı ve çalışma seviyesi), ayarları (örneğin, etkin durum, sonlandırma kriterleri) ve p gibi biçimlendirilen tekrar aralıklarını ortaya çıkarır
Tespit için araştırmacılar, Microsoft-Windows-TasksCheduler/Operasyonel Günlükteki Olay Kimliği 106’yı, ileri denetleme etkinleştirilirse, güvenlik günlüğünde 4698 Olay Kimliği ile birlikte öncelik vermelidir, ancak ikincisi varsayılan olmasa da.
Command-Line denetimi ve PowerShell günlükleri aracılığıyla komut satırı denetimi ve işlem takibi gereklidir, çünkü rakipler, Base64 kodlu PowerShell veya WMI çağrıları gibi gizlenmiş yollarla, incelemeden kaçınmak için görevleri çağırabilir.
Kötü niyetli örnekler tekniğin çok yönlülüğünü vurgular: basit bir aralık görevi notepad.exe’yi günde açacak, iyi huylu testlere işaret ederken, oturum açma tetiklenen bir görev kalıcılık için bir arka kapı çalıştırabilir.
Daha sinsi varyantlar, kripto para kötüye kullanımını işaret eden madencilik parametrelerine sahip C: \ ProgramData \ Sisteminden SVCHOST32.exe’yi her beş dakikada bir tekrarlayan “Telemetryupdater” görevi gibi meşru süreçler gibi daha sinsi varyantlar.
Araştırmacı iş akışları, yolların, eylemlerin ve pt5m gibi kısa tekrar aralıklarının doğrulanmasını vurgular, kırmızı bayraklardır, ortamlarda normal görevleri temel alırken anomali tespitine yardımcı olur.
Tehdit aktörleri, yeni görevleri oluşturmak yerine mevcut görevleri değiştirebilir, görevleri temizleyerek günlüklere kurcalama veya % Temp % veya C: \ users \ public gibi standart olmayan dizinlere yerleştirilebilir.
Buna karşı koymak için kuruluşlar günlük yönlendirmeyi uygulamalı, kapsamlı denetim etkinleştirmeli ve ana süreçleri ve çağırma yöntemlerini incelemelidir.
Nihayetinde, bu pivot noktalarını anlamak, olay tepkisinde “kötülüğün” hızlı bir şekilde tanımlanmasını güçlendirir, planlanan görevleri gözden geçirmenin neden her soruşturmanın temel taşı olmasını, hatta ileri tehditlerin ortasında bile olmasını sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!