Een groep aanvallers die sinds 2009 bij allerlei organisaties, bedrijven en industrieën probeert in te breken gebruikt Windows Taakplanner om netwerken met malware te infecteren. Dat laten onderzoekers van Dell SecureWorks weten. Er zijn verschillende manieren waarop aanvallers binnen een aangevallen organisatie lateraal tussen systemen kunnen bewegen om bijvoorbeeld gedeelde mappen in kaart te brengen of via de PSExec tool opdrachten op computers uit te voeren.

Windows 7 beschikt over twee tools die vanaf de command line kunnen worden uitgevoerd en het mogelijk maken om taken op andere computers klaar te zetten, namelijk schtasks.exe en at.exe. Volgens de onderzoekers is at.exe populairder als aanvallers door middel van geplande taken lateraal binnen een netwerk proberen te bewegen.

Incident

De onderzoekers wijzen naar een recent incident waarbij een organisatie via een phishingmail besmet raakte. De aanvallers wisten via een e-mailbijlage een Remote Access Trojan (RAT) op het systeem te krijgen. De eerste RAT installeerde een tweede RAT die command line-toegang tot de besmette computer bood. Vervolgens gebruikten de aanvallers Taakplanner om op andere computers taken te plannen.

Het ging hierbij om het installeren van malware en uitvoeren van batch-bestanden. Deze tools werden later door de aanvallers verwijderd. Toch slaagden ze er niet in om alle gegevens van de aanval te verwijderen, aangezien dit aanzienlijke moeite zou kosten en de kans op ontdekking zou vergroten, zo stellen de onderzoekers in deze analyse.