Von Swachchhanda Shrawan Poudel, Security Research Engineer bei Logpoint
In der aktuellen Bedrohungslandschaft zeichnet sich eine neue Gefahr für die IT-Sicherheit ab. Cyberkriminelle greifen zunehmend auf die weit verbreitete, aber oft übersehene Funktion der geplanten Aufgaben in Windows zurück, um unbemerkt schädliche Aktivitäten durchzuführen. Diese Angriffsmethode erlaubt es ihnen, traditionelle Sicherheitsvorkehrungen wie Antivirus-Programme zu umgehen, indem sie Schadsoftware als legitime Systemprozesse tarnen.
Geplante Aufgaben sind automatisierte Prozesse in Windows-Systemen, die bestimmte Aktionen zu festgelegten Zeitpunkten oder bei definierten Bedingungen ausführen. Sie werden vorwiegend für administrative Aufgaben wie Systemaktualisierungen, Backups und ähnliche Routinevorgänge eingesetzt. Gesteuert werden diese durch den Windows Task-Scheduler, der kontinuierlich die definierten Bedingungen überwacht und die Aufgaben entsprechend startet.
Wie Angreifer geplante Aufgaben missbrauchen
Cyberkriminelle setzen schädliche Payloads über den Task-Scheduler ein, indem sie entweder neue Aufgaben anlegen oder bestehende modifizieren. Besonders perfide ist, dass diese schädlichen Aufgaben als legitime Systemprozesse getarnt sind und häufig administrative Rechte benötigen. Auf diese Weise kann die Malware bei jedem Systemneustart wieder aktiviert werden, ohne dass Sicherheitsmaßnahmen wie Antivirus-Programme Alarm schlagen. Diese Angriffstechnik wird vermehrt bei Unternehmen und staatlichen Institutionen beobachtet. Ziel der Angreifer ist es, sensible Daten zu stehlen oder den Geschäftsbetrieb zu stören. Die Methoden reichen von der einfachen Modifikation bestehender Aufgaben bis hin zur Ausführung komplexer Skripte, die schädliche Software implementieren und bei Bedarf laufend aktualisieren.
Empfohlene Schutzmaßnahmen
IT-Abteilungen sollten dringend regelmäßige Audits aller geplanten Aufgaben durchführen. Dabei ist sicherzustellen, dass nur vertrauenswürdige Anwendungen und Benutzer Berechtigungen zur Erstellung solcher Aufgaben haben. Insbesondere sollten administrative Rechte beschränkt und streng überwacht werden. Logpoint empfiehlt zudem den Einsatz von SIEM (Security Information and Event Management) -Lösungen, um verdächtige Veränderungen an geplanten Aufgaben frühzeitig zu erkennen und Angriffe rechtzeitig abzuwehren.
Fazit
Geplante Aufgaben stellen ein erhebliches Sicherheitsrisiko dar, das von Cyberkriminellen zunehmend ausgenutzt wird. Eine frühzeitige Erkennung und Abwehr solcher Angriffe ist entscheidend, um potenziellen Schaden zu minimieren. Unternehmen sind dringend angehalten, ihre Sicherheitsvorkehrungen in diesem Bereich zu verstärken und regelmäßige Überprüfungen der Systemprozesse vorzunehmen, um Cyberangriffe effektiv abzuwehren. Mehr dazu lesen Sie hier: https://www.logpoint.com/en/blog/shenanigans-of-scheduled-tasks/