At

攻击者可能滥用at实用程序来执行任务调度，以初始或重复执行恶意代码。at实用程序作为Windows、Linux和macOS中的可执行文件存在，用于在指定的时间和日期调度任务。尽管在Windows环境中已弃用，转而使用计划任务的schtasks，但使用at需要任务调度程序服务正在运行，并且用户必须以本地管理员组成员的身份登录。除了显式运行at命令外，攻击者还可以通过直接利用Windows管理工具 Win32_ScheduledJob WMI类来调度任务。(Citation: Malicious Life by Cybereason) 在Linux和macOS上，超级用户以及添加到at.allow文件中的任何用户都可以调用at。如果at.allow文件不存在，则检查at.deny文件。未列在at.deny中的每个用户名都允许调用at。如果at.deny存在且为空，则允许全局使用at。如果两个文件都不存在（通常是基线情况），则只有超级用户可以使用at。(Citation: Linux at) 攻击者可能使用at在系统启动时或按计划执行程序以实现持久性。at还可用于在横向移动期间进行远程执行或在指定账户（如SYSTEM）的上下文中运行进程。 在Linux环境中，攻击者还可能滥用at通过任务生成交互式系统shell或运行系统命令来突破受限环境。同样，如果二进制文件允许通过sudo以超级用户身份运行，at也可用于权限提升。(Citation: GTFObins at)