利用任务计划程序实现持久化——威胁行为者如何在不使用其他工具的情况下利用 Windows 原生功能

即使到了 2025 年，当防御者面临涉及零日漏洞、内核 rootkit 和高级命令与控制通道的入侵时，调查人员仍然经常发现一些并不新颖的持久化机制。其中最常见的机制之一仍然是滥用 Windows 计划任务。

为什么定时任务仍然有效

攻击者偏爱这种方法，正是因为它内置于操作系统中，不需要额外的工具，并且可以与合法的管理活动混为一谈。

该功能旨在实现维护和用户工作流程的自动化，但如果落入恶意分子手中，很容易变成确保长期访问的机制。

无论是系统启动、用户登录，还是仅几分钟的短时间间隔，重复触发都能为攻击者提供保证的代码执行，而无需暴露更高级的功能。

跨系统跟踪工件

对于响应人员而言，有效的调查需要了解恶意计划任务留下的痕迹。这些任务本身以 XML 文件的形式存储在Windows System32 目录下，而 TaskCache 项下的注册表条目则记录了所有权和配置数据。

对这些 XML 文件进行取证审查通常会揭示触发器、主体、含义、任务运行的帐户以及操作，从而准确地显示执行了什么。

恶意任务通常会从可疑目录（例如 ProgramData 或 Temp）运行名称模仿合法进程的二进制文件，例如“svchost32.exe”。此外，Windows 事件日志提供了进一步的可见性：任务计划程序操作日志会记录任务创建（事件 ID 106）、修改（事件 ID 140）和删除（事件 ID 141）。

如果启用了高级审计功能，安全日志也可能捕获事件 ID 4698。由于攻击者经常试图清除日志，因此组织越来越依赖端点检测或 Sysmon 的遥测数据来保存证据。

对手如何创建任务

攻击者可以通过几种简单的途径创建这些任务。一些攻击者利用内置的命令行工具“schtasks.exe”，调用命令来安排恶意软件每隔几分钟以 SYSTEM 等特权帐户执行一次。

其他人则更喜欢使用 PowerShell 的原生 cmdlet，例如 New-ScheduledTask，通常会添加混淆或 Base64 编码。更高级的操作人员会利用 Windows 管理规范 (WMI)，使用 Win32_ScheduledJob 类远程或通过脚本创建任务。

在企业入侵中，勒索软件运营者甚至通过组策略对象大规模部署任务，有效地将恶意执行同时推送到数百个端点。

防御策略的关键在于，任务名称本身并不可靠。最重要的是执行的命令、二进制文件的位置、账户上下文以及重复执行的间隔。

异常短的时间间隔或系统级上下文都应立即发出警报。通过建立环境中合法计划任务的基线，防御者可以快速标记异常情况。

虽然通过任务调度器实现持久化看似过时，但它仍然能为攻击者带来收益。对于事件响应人员来说，这些痕迹在每次调查中都必须保持优先地位。