在网络攻击中往往涉及到提权技术，为更好的防御与溯源，故总结现有技术文章进行分享，欢迎共同讨论。

涉及文章：

34aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8#2M7#2)9J5c8Y4N6A6L8X3c8G2N6%4y4Q4x3V1k6%4K9h3^5K6x3W2)9J5c8Y4c8S2M7$3E0K6j5$3S2V1i4K6u0r3N6r3q4K6K9#2)9J5k6s2y4U0K9r3g2V1N6h3I4W2M7W2)9J5k6s2y4@1j5i4u0@1i4K6u0V1M7r3q4Y4k6b7`.`.

fb0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2N6s2c8S2j5$3E0Q4x3X3g2E0K9i4c8J5k6g2)9J5k6h3!0J5k6#2)9J5c8Y4c8W2j5$3S2F1K9i4q4#2k6i4y4Q4x3V1k6f1x3e0l9#2x3#2)9J5c8U0l9H3y4g2)9J5c8R3`.`.
64bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5j5h3y4C8K9h3&6Y4j5i4u0@1K9h3y4D9k6i4y4Q4x3X3g2A6L8W2)9J5c8Y4N6A6L8X3c8G2N6%4y4Q4x3X3c8H3M7X3W2$3K9h3I4W2k6$3g2Q4x3X3c8W2M7$3y4S2L8r3q4@1K9h3!0F1i4K6u0V1M7$3y4Z5k6h3c8#2L8r3g2V1i4K6u0V1N6r3q4K6K9#2)9J5k6r3A6G2j5W2)9J5k6s2b7I4y4e0M7K6i4K6u0V1x3o6l9#2i4K6u0r3

c6cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6I4j5i4y4@1j5h3y4C8i4K6u0W2j5$3&6Q4x3V1k6H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5c8U0p5I4x3o6p5K6x3e0x3J5i4K6u0r3K9r3!0%4i4K6u0V1j5$3q4F1i4K6u0V1K9g2)9J5k6r3g2F1j5h3u0D9k6g2)9J5k6s2c8Z5k6g2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3c8K6k6i4u0$3k6i4u0Q4x3X3c8@1j5i4y4C8i4K6u0V1M7$3y4Z5k6h3c8#2L8r3g2J5i4K6u0V1K9r3W2K6N6r3!0J5P5g2)9J5k6s2u0W2j5$3!0J5k6r3W2F1k6H3`.`.

攻击者可能会滥用Windows任务计划程序来执行任务计划，以初始或重复执行恶意代码。有多种方法可以访问Windows中的任务计划程序。schtasks可以直接在命令行上运行，也可以通过控制面板的Administrator Tools部分中的GUI打开Task Scheduler。在某些情况下，攻击者使用了一种策略NET包装器，或者攻击者使用Windows netapi32库创建计划任务。

不推荐使用的at实用程序也可能被对手滥用(例如:At (Windows))，尽管at.exe不能访问用schtasks或控制面板创建的任务。

攻击者可以利用Windows任务计划程序在系统启动时或按计划执行程序，以达到持久性。Windows任务安排程序也可以被滥用来进行远程执行，作为横向移动的一部分，或者在指定账户（如SYSTEM）的背景下运行一个进程。

相关程序示例

Agent Tesla 通过计划任务实现了持久性.[1]

Anchor 

可以为持久性创建计划任务.[2]

AppleJeus 创建了一个预定的SYSTEM任务，当一个用户登录时运行。.[3]

APT-C-36 使用了一个宏功能来设置预定任务，伪装成谷歌使用的任务。.[4]

APT29 使用并在远程主机上创建新的任务，作为横向移动的一部分.schedulerschtasks[5] 他们通过更新现有的合法任务来操纵计划任务，以执行他们的工具，然后将计划任务恢复到原来的配置。.[6] APT29 还创建了一个计划任务，以便在2020年SolarWinds入侵期间主机启动时维持SUNSPOT的持久性.[7] 他们以前使用命名和劫持的计划任务，也是为了建立持久性.[8]

APT3 下载器通过创建以下计划任务来创建持久性: .schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru "System"[9]

APT32 已经使用计划任务在受害者系统上持续存在。[10][11][12][13]

APT33 已经创建了一个计划任务，每天多次执行一个.vbe文件.[14]

APT37 创建了计划任务，在被攻击的主机上运行恶意的脚本。[15]

APT38 已使用任务计划器在系统启动时或按计划运行程序，以实现持久性。[16]

APT39 已经为持久性创建了计划任务。[17][18][19]

APT41 使用一个被泄露的账户在一个系统上创建一个计划任务。[20][21]

Attor's 安装程序插件可以安排一个新任务，在启动/登录时加载计划程序。[22]

BabyShark 已经使用预定任务来维持持久性。[21]

BackConfig 有能力使用预定任务在被攻击的主机上重复执行恶意payload。[23]

Bad Rabbit’该文件创建了一个计划任务来启动一个恶意的可执行文件infpub.dat。[24]

BADNEWS 创建一个计划任务，通过每隔一分钟执行一个恶意的有效载荷来建立。[25]

Bazar 可以为持久化创建一个计划任务。[26][27]

Blue Mockingbird 已使用Windows计划任务在本地和远程主机上建立持久性。[28]

BONDUPDATER 使用一个每分钟执行一次的计划任务来持续进行。[29]

BRONZE BUTLER 曾使用schtasks 来注册一个计划任务，在横向移动过程中执行恶意软件。[30]

Carbon 创建几个任务供以后执行，以继续在受害者的机器上持久存在。[31]

Chimera 已经使用计划任务来调用Cobalt Strike，包括通过批处理脚本和维护持久性。schtasks /create /ru "SYSTEM" /tn "update" /tr "cmd /c c:\windows\temp\update.bat" /sc once /f /st[32][33]

Cobalt Group 已经创建了Windows任务来建立持久性。[34]

ComRAT 使用了一个计划任务来启动其PowerShell加载器。[35][36]

CosmicDuke 使用通常被命名为 "Watchmon服务 "的计划任务来实现持久性.[37]

CostaRicto 已使用计划任务下载后门工具.[38]

 CozyCar 使用的一个持久性机制是将自己注册为一个计划任务.[39]

Crutch 有能力使用预定的任务来持续进行.[40]

CSPY Downloader 可以使用 schtasks 工具来绕过 UAC.[41]

Dragonfly 2.0 使用预定任务，每8小时自动注销创建的账户，以及执行恶意文件。[42][43]

Duqu 通过将自己复制到它所列举的、它已获得合法凭证（通过键盘记录或其他手段）的共享上进行横向传播。然后，远程主机被感染，方法是使用被破坏的凭证在远程机器上安排一个任务，执行恶意软件。.[44]

Dyre 有能力通过在任务计划程序中添加一个新任务来实现持久性，每分钟运行一次。[45]

Emotet 通过一个预定任务保持了持久性。 [46]

Empire 拥有与Windows任务计划程序互动的模块。[47]

EvilBunny 曾使用计划任务执行命令。[48]

FIN10 已经通过使用S4U任务以及PowerShell Empire中的Scheduled Task选项建立了持久性。[49][47]

FIN6 它使用计划任务为其使用的各种恶意软件建立持久性，包括被称为HARDTACK和SHIPBREAD的下载器和 FrameworkPOS.[50]

FIN7 恶意软件已经创建了计划任务，以建立持久性。[51][52][53][54]

FIN8 曾使用计划任务来维护RDP后门。[55]

Fox Kitten 使用调度任务来实现持久性，并加载和执行一个反向代理二进制.[56][57]

Frankenstein 作为通过一个计划任务建立的持久性，使用命令: , named "WinUpdate". /Create /F /SC DAILY /ST 09:00 /TN WinUpdate /TR [58]

GALLIUM 通过创建一个计划任务。建立了持久性的 PoisonIvy [59]

Gamaredon Group 创建了一个计划任务，每10分钟启动一个可执行文件.[60]

Gazer 可以通过创建一个计划任务来建立持久性.[61][62]

GoldMax 已使用计划任务来保持持久性.[63]

Goopy 有能力通过创建设置为每小时运行的计划任务来保持持久性.[12]

GravityRAT 创建一个计划任务，确保每天重新执行.[64]

GRIFFON 曾用于持久性 sctasks[65]

GrimAgent 有能力使用任务调度器来设置持久性。[66]

Helminth 已经使用了一个预定任务来实现持久化。[67]

Higaisa 删除并添加到计划任务中.officeupdate.exe[68][69]

HotCroissant 试图在启动时安装一个名为 "Java Maintenance64 "的计划任务以建立持久性。[70]

IcedID 已经创建了一个计划任务，每小时执行一次，以建立持久性。[71]

InvisiMole 已使用预定任务命名并建立持久性.MSST\Microsoft\Windows\Autochk\Scheduled[72]

IronNetInjector 已经使用了一个任务XML文件，命名为在用户登录时或特定系统事件产生时运行IronPython脚本.mssch.xml[73]

ISMInjector 创建计划任务以建立持久性。[74]

JHUHUGIT 已将自己注册为一个计划任务，在当前用户每次登录时运行。[75][76]

JSS Loader 有能力启动计划任务以建立持久性。[77]

Lokibot 在批处理脚本中嵌入这些命令.schtasks /Run /TN \Microsoft\Windows\DiskCleanup\SilentCleanup /I[78]

Lucifer 已经通过创建以下计划任务建立了持久性 .schtasks /create /sc minute /mo 1 /tn QQMusic ^ /tr C:Users\%USERPROFILE%\Downloads\spread.exe /F[79]

Machete 的不同组件是由Windows任务调度器执行的。[80][81]

Machete 已经创建了计划任务来维护 Machete'的持久性。[82]

Matryoshka 可以通过添加一个名为 "Microsoft Boost Kernel Optimization "的计划任务来建立持久性。[83][84]

Maze 已经创建了使用 "Windows Update Security"、"Windows Update Security Patches "和 "Google Chrome Security Update "等名称变体的计划任务，以便在特定时间启动 Maze [85]

MCMD 可以使用计划任务来实现持久化。[86]

menuPass 已使用一个脚本（atexec.py）通过任务调度器在目标机上执行一个命令。[87]

Molerats 已经创建了计划任务来持续运行VBS脚本。[88]

MuddyWater 已经使用计划任务来建立持久性。[89]

Mustang Panda 已经创建了一个计划任务来执行额外的恶意软件，并保持持久性。[90][91][92]

Naikon 在被攻击的网络中使用schtasks.exe进行横向移动。[93]

NETWIRE 可以创建一个计划任务来建立持久性。[94]

NotPetya 创建一个任务，在感染后一小时内重新启动系统。.[95]

OilRig 已经创建了计划任务，运行VBScript，在受害者机器上执行payload。[96][97][98][99]

Okrum's 安装程序可以尝试通过创建一个计划任务来实现持久性。[100]

OopsIE 创建一个计划任务，每三分钟运行一次。[96][101]

Operation Wocao 利用计划任务在远程系统上执行恶意的PowerShell代码。[102]

A Patchwork 文件窃取者可以运行一个TaskScheduler DLL来增加持久性.[103]

PowerSploit's 持久性参数可以通过 Scheduled Task/Job.建立新用户持久性选项[104][105]

POWERSTATS 已经通过使用命令的计划任务建立了持久性。 ."C:\Windows\system32\schtasks.exe" /Create /F /SC DAILY /ST 12:00 /TN MicrosoftEdge /TR "c:\Windows\system32\wscript.exe C:\Windows\temp\Windows.vbe"[106]

POWRUNER 通过每分钟执行一次的计划任务来持续进行。[107]

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课