Windows 任务计划程序使 Windows 用户和管理员能够按特定时间间隔执行自动化任务。计划任务通常被威胁行为者和红队滥用为持久性方法，因此该技术引起了 SOC 团队的大量关注，他们正在监视特定的 Windows 事件 ID，以便识别 Windows 计划任务中的修改。

schtasks实用程序是 Windows 生态系统的一部分，可用于篡改（创建或修改）计划任务，以便执行任意植入并在标准用户或管理员的上下文中建立持久性。微软已经披露了来自 HAFNIUM 威胁参与者的工件，这导致了一种新方法的发现，该方法可以逃避可能受到严格监控的schtasks的使用，并利用 Windows 注册表来篡改计划任务。操作注册表项来创建或修改计划任务不会产生典型的噪音（事件 ID 4698 和 106），并且提供了一种更隐蔽的建立持久性的方法。

计划任务存储在注册表中的以下位置：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\TasksHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

注册表项树包含按名称排列的计划任务，每个任务都有以下注册表项：

可以重新创建上述注册表项结构以生成新的计划任务。应该注意的是，删除 SD 注册表项将导致任务在任务计划程序中或使用命令schtasks /query时不可见。但是，需要提升权限 (SYSTEM) 才能创建或删除这些注册表项。

注册表计划任务树

注册表项Tasks包含计划任务的 GUID（映射到 Tree 注册表项的 Id 值）以及运行计划任务所需的其他注册表项，例如：

• Task Trigger

• Task Action

• Path

该信息采用编码密钥和二进制 blob 格式。微软还透露，删除注册表项Tasks & Tree不会对计划任务产生任何影响，因为它将继续使用定义的参数运行，直到svchost进程终止或系统重新启动。

注册表计划任务

创建新任务

Chris Au开发了一个名为GhostTask的信标目标文件，它实现了计划任务篡改的隐形技术。GhostTask可以直接从内存中为任意计划任务创建注册表结构。执行以下命令将在每天的特定时间运行植入程序。

GhostTask.exe localhost add pentestlab "cmd.exe" "/c demon.x64.exe" red\Administrator daily 11:30

计划任务 – 创建新任务

控制台末尾将显示新创建的任务的信息。

计划任务 – 创建新任务输出

检查注册表将验证注册表项是否已成功创建。

计划任务篡改——任意任务

计划任务篡改——任务信息

运行植入程序的命令将存储在 actions 键中。

计划任务篡改 - Actions 注册表项

任务修改

GhostTask 还可用于通过任意信标篡改现有计划任务，以实现更隐蔽的方法。执行以下命令将修改CacheTask，以便每天以特定时间间隔 在用户peter的上下文中执行信标。

GhostTask.exe localhost add "Microsoft\Windows\Wininet\CacheTask" "cmd.exe" "/c  C:\Users\peter\Downloads\demon.x64.exe" red/peter daily 11:37

计划任务篡改 – 任务篡改

查看任务计划程序将验证任务是否已成功修改。

计划任务篡改 – 计划任务

Havoc Command and Controller 的默认植入支持计划任务 bof，可用于从植入中查询被篡改的计划任务。

schtasksquery Microsoft\Windows\Wininet\CacheTask

Havoc C2 – 计划任务查询

计划任务的 XML 架构将显示在输出中，作为验证任务是否已被篡改的替代方法。

Havoc C2 – 计划任务枚举

执行计划任务后，将建立连接。

计划任务篡改 – Havoc C2 会话

参考

https://labs.withsecure.com/publications/scheduled-task-tampering

https://github.com/netero1010/GhostTask

https://posts.specterops.io/abstracting-scheduled-tasks-3b6451f6a1c5

https://cyber.wtf/2022/06/01/windows-registry-analysis-todays-episode-tasks/