计划任务

对手可能会滥用Windows任务计划程序来执行任务调度，以初始或定期执行恶意代码。有多种方法可以访问Windows中的任务计划程序。可以直接在命令行上运行schtasks实用程序，或者可以通过控制面板中的管理工具部分打开任务计划程序的GUI。(引用: Stack Overflow) 在某些情况下，对手使用了Windows任务计划程序的.NET包装器，或者使用了Windows netapi32库和Windows管理工具 (WMI)来创建计划任务。对手还可以利用Powershell Cmdlet Invoke-CimMethod，该Cmdlet利用WMI类PS_ScheduledTask通过XML路径创建计划任务。(引用: Red Canary - Atomic Red Team) 对手可能会使用Windows任务计划程序在系统启动时或定期执行程序以保持持久性。Windows任务计划程序还可以被滥用以进行远程执行作为横向移动的一部分，或在指定帐户（如SYSTEM）的上下文中运行进程。类似于系统二进制代理执行，对手还滥用了Windows任务计划程序，以便在签名/受信任的系统进程下掩盖一次性执行。(引用: ProofPoint Serpent) 对手还可能创建“隐藏”计划任务（即隐藏工件），这些任务可能对防御工具和用于枚举任务的手动查询不可见。具体来说，对手可能通过删除关联的安全描述符（SD）注册表值（删除此值必须使用SYSTEM权限完成）来隐藏任务。(引用: SigmaHQ)(引用: Tarrask scheduled task) 对手还可能采用其他方法隐藏任务，例如更改关联注册表项中的元数据（例如Index值）。(引用: Defending Against Scheduled Task Attacks in Windows Environments)