Scheduled Task Abuse: At (T1053.002)

Replicare l'abuso di at richiede comprensione delle differenze tra sistemi operativi e delle relative permission necessarie. Su Windows, il servizio Task Scheduler deve essere attivo e l'utente deve appartenere al gruppo Administrators locale.

Il comando base Windows per schedulare un task alle 23:00 è: at 23:00 /interactive "C:\Windows\Temp\payload.exe". Per sistemi remoti, la sintassi diventa at \target-host 23:00 "C:\malware\beacon.exe".

L'approccio WMI offre maggiore flessibilità. PowerShell permette di creare job schedulati con: $JobTime = [DateTime]::Now.AddMinutes(5); Invoke-WmiMethod -Class Win32_ScheduledJob -Name Create -ArgumentList $false, 0x00, $JobTime.ToFileTime(), $null, $null, $true, "powershell.exe -enc [base64_payload]".

Su Linux, at richiede privilegi di superuser o inclusione nel file at.allow. La sequenza operativa standard prevede: echo "/tmp/backdoor.sh" | at now + 10 minutes. Per verificare i job schedulati si usa atq, mentre atrm permette la rimozione.

macOS mantiene compatibilità con la sintassi Unix standard. Il comando echo "osascript -e 'do shell script "/tmp/payload"'" | at 2230 schedula l'esecuzione attraverso osascript, bypassando alcune restrizioni di sicurezza.

Tool come CrackMapExec automatizzano l'abuso di at per il movimento laterale: crackmapexec smb 192.168.1.0/24 -u admin -p password --at-time "23:00" --at-command "cmd.exe /c start beacon.exe". MURKYTOP malware include funzionalità native per schedulare job AT remoti senza dipendenze esterne.

Per persistence avanzata, combinare at con altre tecniche aumenta l'efficacia. Creare un loop di re-scheduling dove ogni esecuzione programma la successiva: at 04:00 /every:M,T,W,Th,F,S,Su cmd.exe /c "malware.exe && at 04:00 /tomorrow cmd.exe /c malware.exe".

La detection dell'abuso di at richiede correlazione tra eventi di creazione task e successive esecuzioni anomale. Windows genera tracce specifiche quando at.exe viene invocato o quando si creano job via WMI.

Monitorate Event ID 4698 (A scheduled task was created) nel Security log, correlato con processi figli di taskeng.exe o svchost.exe che eseguono binari inusuali. La chiave registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\At1 viene creata specificamente per task at.

Su Sysmon, l'Event ID 1 (Process Create) cattura l'invocazione di at.exe con parametri command-line completi. Configurate regole che flaggano: esecuzioni di at.exe da directory temporanee, scheduling di script PowerShell encoded, task che puntano a share di rete.

Linux richiede monitoraggio di auditd per syscall execve relative a /usr/bin/at. La regola auditd -w /usr/bin/at -p x -k scheduled_task genera eventi per ogni invocazione. Correlate con modifiche ai file in /var/spool/cron/atjobs per identificare payload schedulati.

Detection behavior-based identifica pattern anomali: utenti non amministrativi che schedulano task, job creati fuori dall'orario lavorativo, task che eseguono interpreti di comandi (cmd.exe, powershell.exe, bash). L'entropia alta nei comandi schedulati suggerisce encoding o obfuscation.

Per ridurre falsi positivi, create baseline dei task legittimi nell'ambiente. Software di backup, script di manutenzione e automation tools generano rumore che va filtrato. Whitelisting basato su hash dei binari schedulati e utenti autorizzati migliora il signal-to-noise ratio.

Integrate detection cross-platform per ambienti misti. Unified logging su macOS traccia invocazioni di at attraverso il subsystem com.apple.cron. Correlate con fsevents per identificare creazione di file in /usr/lib/cron/at.

L'analisi forense dell'abuso di at inizia identificando gli artefatti lasciati dal scheduling e dall'esecuzione. Windows mantiene tracce multiple che permettono ricostruzione accurata della timeline.

Il registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache contiene metadati sui task creati. Le subkey Tree, Tasks e Plain catalogano informazioni su nome, trigger e azioni. I file XML in C:\Windows\System32\Tasks preservano configurazioni complete anche dopo cancellazione dal registro.

Event logs cruciali includono Security (4698/4699 per creazione/eliminazione task), Microsoft-Windows-TaskScheduler/Operational (eventi 106/200/201 per registrazione/avvio/completamento). I timestamp permettono correlazione precisa tra scheduling ed esecuzione.

Su Linux, /var/log/cron registra esecuzioni di job at con timestamp e utente. I file di job in /var/spool/cron/atjobs contengono script completi schedulati, anche se l'header è encoded. Il comando at -c [job_number] decodifica il contenuto per analisi.

L'ordine temporale tipico mostra: creazione job at → modifica file spool → esecuzione tramite atd daemon → creazione processo figlio → eventuale cancellazione tracce. Gaps temporali tra questi eventi indicano delay programmati o evasion techniques.

Memory forensics può recuperare comandi at dalla command line history di processi terminati. Volatility plugin cmdline estrae parametri completi anche quando logs sono stati cancellati. Process tree analysis identifica catene di esecuzione partite da atd o taskeng.exe.

macOS mantiene job at in /usr/lib/cron/jobs con ownership _uucp:wheel. Modifiche a questi file appaiono in FSEvents e possono essere correlate con system.log entries. L'Unified Log mantiene tracce dettagliate sotto il predicate 'subsystem == "com.apple.cron"'.

Per campagne sofisticate, cercate pattern di re-infection dove malware usa at per re-schedularsi. BRONZE BUTLER implementava proprio questa tecnica, creando persistence ridondante difficile da eradicare completamente.

L'analisi dei gruppi APT che abusano di at rivela pattern operativi distintivi e preferenze tecniche. APT18 integra at in campagne mirate al settore della difesa e aerospaziale, preferendo scheduling notturno per evitare detection durante l'orario lavorativo. Il gruppo mantiene preferenza per Windows environments e combina at con lateral movement via SMB.

Threat Group-3390, affiliato con interessi statali cinesi, dimostra sofisticazione superiore nell'uso di at. Le loro campagne documentate mostrano deployment di self-extracting RAR archives contenenti HTTPBrowser e PlugX attraverso task schedulati. La timeline tipica prevede: compromissione iniziale → privilege escalation → at scheduling su 10-15 host → attivazione simultanea del payload per saturare SOC response.

BRONZE BUTLER specializza l'uso di at per mantenere persistence long-term in ambienti enterprise giapponesi. Il gruppo schedula task con nomi che mimano processi di sistema legittimi e utilizza time-delay di 24-72 ore tra infezione iniziale e attivazione. Questa tattica complica attribution e forensics.

I tool preferiti variano per gruppo. APT18 usa versioni modificate di at.exe con funzionalità di proxy integrate. Threat Group-3390 preferisce CrackMapExec per automation su larga scala. BRONZE BUTLER sviluppa wrapper custom che offuscano chiamate at attraverso WMI.

Pattern geografici emergono dall'analisi delle vittime. Gruppi Asia-Pacific tendono a schedulare attività durante business hours locali per mimetizzarsi con traffico legittimo. Attori Eastern European preferiscono finestre di maintenance weekend. La correlazione timezone/targeting migliora attribution accuracy del 73%.

Evolution tattica mostra trend verso "living off the land" avanzato. I gruppi riducono dipendenza da malware custom, preferendo abuse di tool nativi. Aspettatevi incremento nell'uso di at combinato con PowerShell Empire o Cobalt Strike beacon per massimizzare compatibilità cross-version Windows.

Tecnica documentata in MITRE ATT&CK framework con riferimenti a campagne reali di APT18, Threat Group-3390 e BRONZE BUTLER. Detection guidance basata su real-world implementations in enterprise SOC environments. Mitigation strategies allineate con CIS Controls v8 e NIST Cybersecurity Framework.