[Windows Artifacts] Task Scheduler

2020. 5. 25. 05:28

[Windows Artifacts] Task Scheduler

작업 스케줄러는 미리 정의된 시간 또는 지정된 시간 간격 (작업 예약) 후에 프로그램이나 스크립트의 실행을 예약할 수 있는 기능을 제공하는 Microsoft Windows의 구성 요소
해당 아티팩트는 지속적 공격을 위하여 악의적으로 활용될 수 있는 아티팩트
공격자가 자주 사용하는 기능이며, 악성 파일을 다운로드하기 전에 특정 조건을 기다리게 할 수 있는 아티팩트

Save when using 'at' or 'schtasks' command
- %SystemDrive%\Windows\Tasks\*
- %SystemDrive%\Windows\System32\Tasks\*
Microsoft-Windows-TaskScheduler/Operational - Event Log

This features frequently used by attackers
It is possible that wait for certain preconditions before downloading malicious files

Task Scheduler 아티팩트 확인 후에, 마우스 우클릭하면 Export Files 기능을 사용할 수 있다.

Export Files 기능을 통해 해당 아티팩트를 수집한다.

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더 등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

Adobe Acrobat Update Task라는 이름을 가진 xml 파일을 Sublime Text 3로 오픈한 화면이다.

해당 아티팩트는 Adobe Acrobat Update에 대한 등록 정보, 여러 Triggers(캘린더, 로그온 등)와 Boundary(시작, 끝), 주요 내용, 실행 파일 경로 등을 확인 가능

따로 분석 도구를 사용하지 않아도 분석이 가능하여, 매우 편리함을 주는 아티팩트인 것 같다.

그러나 지속적 공격을 위해 악의적으로 많이 활용되는 아티팩트이므로, 상세 분석을 진행할 필요성이 큰 아티팩트이다.

관련 아티팩트에 대한 문서나 자료가 많지 않아 우선 분석이랑 내용은 이 정도까지 하고, 내용은 추후에 계속 추가적으로 분석시키도록 하겠다.

[Windows Artifacts] WER (0)	2020.05.25
[Windows Artifacts] Amcache (0)	2020.05.25
[Windows Artifacts] Recycle Bin (0)	2020.05.25
[Windows Artifacts] Jump Lists (0)	2020.05.25
[Windows Artifacts] Shortcut (LNK) (0)	2020.05.25

Yum_Yum