BITS任务: 持久化低活跃任务链

持久化低活跃任务链（Persistent Low-Activity Job Chaining）是通过构建多层次、长周期的BITS任务序列实现隐蔽驻留的技术。攻击者创建具有动态依赖关系的多个BITS任务，通过设置任务完成触发条件与最小重试间隔，将恶意操作分解为离散的低频活动单元。单个任务生存周期可延长至系统允许的最大值（默认90天），并通过错误处理机制实现任务自动重建，形成具有自恢复能力的持久化攻击链。

该技术的匿迹效果源于任务调度层面的时空特征稀释与行为逻辑解耦。攻击者首先将恶意负载下载、解密执行、日志清理等操作拆解为独立任务节点，通过SetNotifyCmdLine参数设置任务间触发逻辑，形成单向或环状任务链。每个任务配置最低优先级与最大重试延迟（如24小时），确保仅在系统空闲时激活且失败后延迟重试。在时间维度上，任务链整体运行周期可跨越数周，使得单日产生的网络流量与进程活动远低于常规检测阈值。空间维度上，攻击者利用BITS任务数据库的隐蔽存储特性，避免在文件系统或注册表中留下持久化痕迹，迫使防御者必须深入解析BITS内部数据结构才能识别异常任务关联。