T1053-002-win-交互式AT计划任务
来自ATT&CK的描述
诸如at和schtasks之类的实用程序可与Windows Task Scheduler一起使用来调度程序或脚本在某日期和时间执行。只要身份认证通过可以使用RPC,并且打开了文件和打印机共享功能,就可以在远程系统上调度任务。在远程系统上调度任务通常需要远程系统管理员群组的成员执行。
攻击者可能会通过任务调度在系统启动时或在计划的基础上执行程序以实现持久性,作为横向移动的一部分进行远程执行,获得系统权限,或者在指定账号的上下文下运行进程。
测试案例
AT命令虽然自Win8系统起已经弃用,需要使用SCHTASKS命令了,但目前来看win7的使用范围还是很广泛的。
at time /interactive command ---给用户一个与程序或命令参与交互的机会
检测日志
windows安全日志/sysmon日志
测试复现
成功执行后,cmd.exe将生成at.exe并创建计划任务,该任务将在特定时间生成cmd。
at 17:28 /interactive cmd
测试留痕
# sysmon_log,事件ID:1
Process Create:
RuleName: -
UtcTime: 2020-11-29 09:16:59.072
ProcessGuid: {bb1f7c32-670b-5fc3-8000-000000001800}
ProcessId: 2548
Image: C:\Windows\System32\at.exe
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
Description: Schedule service command line interface
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: AT.EXE
CommandLine: at 17:28 /interactive cmd
CurrentDirectory: C:\Users\12306Br0\Desktop\Sysmon\
User: 12306Br0-PC\12306Br0
LogonGuid: {bb1f7c32-6401-5fc3-e5b7-1a0000000000}
LogonId: 0x1ab7e5
TerminalSessionId: 1
IntegrityLevel: High
检测规则/思路
title: 交互式AT计划任务
description: 交互式AT计划任务,可能是提权行为
author: 12306Br0
date: 2020/11/29
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1053.002/T1053.002.md
- https://eqllib.readthedocs.io/en/latest/analytics/d8db43cf-ed52-4f5c-9fb3-c9a4b95a0b56.html
tags:
- attack.persistence
- attack.lateral_movement
- attack.t1053-002
logsource:
product: windows
service: sysmon #自行配置
detection:
selection:
EventID: 1 #进程创建
Image: 'at.exe'
CommandLine: '* interactive *'
condition: selection
level: low
建议
除了基于sysmon日志之外,高版本的Windows操作系统,也可以通过系统安全日志中4688进行检测
参考推荐
MITRE-ATT&CK-T1053-002
https://attack.mitre.org/techniques/T1053/002/
CMD命令行计划任务设置-AT
https://baijiahao.baidu.com/s?id=1593905611581087845&wfr=spider&for=pc