定时任务隐匿(Stealthy Scheduled Task)是通过篡改任务属性与触发逻辑实现隐蔽执行的匿迹技术。攻击者创建具有合法任务名称和伪装描述的计划任务,通过随机化触发条件、关联系统事件日志或设置多级触发依赖,将恶意任务深度嵌入系统运维流程。该技术利用任务调度器的高级功能实现执行时机和上下文环境的动态适配。
匿迹效果通过任务属性伪装和触发机制优化双重实现。任务名称模仿系统维护任务(如"Microsoft\Windows\Maintenance"),描述信息复制自合法任务模板。触发条件关联系统空闲事件、用户锁屏事件或特定日志事件ID,避免固定时间间隔带来的周期性特征。高阶变种会构建任务执行链,通过前置任务完成环境检测与防御规避,仅在满足特定条件时激活恶意行为。任务结果代码伪装和日志清理机制进一步消除执行痕迹,使得基于任务列表审查或执行日志分析的检测方法难以奏效。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon