Bedrohungsakteure setzen auf geplante Windows-Aufgaben für verdeckte Persistenz

Ein aktueller Beitrag bei The DFIR Spot beleuchtet, wie Angreifer die in Windows integrierte Funktion der geplanten Aufgaben missbrauchen, um unauffällig und ohne zusätzliche Tools dauerhaft im System verankert zu bleiben.

Tradition statt High-Tech

Auch im Jahr 2025 greifen viele Bedrohungsakteure nicht auf neuartige Zero-Day-Exploits oder komplexe Rootkits zurück, sondern bevorzugen klassische Methoden. Geplante Aufgaben sind in Windows nativ vorhanden, fügen sich nahtlos in reguläre Systemaktivitäten ein und erfordern keine externen Werkzeuge – ein entscheidender Vorteil für Angreifer.

Persistenz als Ziel

In nahezu jedem Vorfall spielt Persistenz eine Rolle: Entweder, weil Angreifer den Zugang weiterverkaufen wollen, oder weil sie sich noch in einer frühen Phase ihrer Operation befinden. Neben Registrierungswerten, Autostart-Einträgen und Diensten zählen geplante Aufgaben zu den etablierten Methoden.

Funktionsweise geplanter Aufgaben

Geplante Aufgaben können Programme, Skripte oder Befehle automatisiert nach einem Zeitplan oder Trigger ausführen – etwa zu einem bestimmten Zeitpunkt, beim Systemstart oder bei einer Benutzeranmeldung. Angreifer können dabei nicht nur neue Aufgaben anlegen, sondern auch bestehende verändern.

Indikatoren und Spuren

• Ereignisprotokolle: Im TaskScheduler/Operational Event Log erscheinen Einträge wie Ereignis-ID 106 (registriert), 140 (aktualisiert) und 141 (gelöscht).

• Sicherheitsprotokoll: Ereignis-ID 4698 zeigt die Erstellung einer Aufgabe, setzt jedoch erweiterte Überwachungsrichtlinien voraus.

• Speicherort: Aufgaben werden als XML-Dateien unter C:\Windows\System32\Tasks abgelegt, teilweise auch in Unterordnern.

• Tarnung: Aufgaben lassen sich beliebig benennen. Entscheidend sind Befehlszeile, Pfad und Aktion.

Besonders auffällig sind kurze, sich wiederholende Intervalle, etwa alle fünf Minuten. Auch der Ursprung der Erstellung – über schtasks, PowerShell, WMI oder direkt im Taskplaner – liefert wichtige Hinweise.

Von Persistenz bis Ransomware-Kampagnen

Geplante Aufgaben dienen nicht nur der dauerhaften Verankerung, sondern auch für weiterführende Angriffe. So können Ransomware-Gruppen massenhaft ferngesteuerte Aufgaben ausrollen, die auf hunderten Systemen gleichzeitig Schadsoftware starten. Ebenso lassen sich Gruppenrichtlinien missbrauchen, um bösartige Aufgaben flächendeckend zu verteilen.

Best Practice für die Verteidigung

Organisationen sollten eine Baseline für normale geplante Aufgaben definieren, um Abweichungen rasch erkennen zu können. Da Angreifer Protokolle gezielt löschen, sind Log-Weiterleitungen sowie EDR- und Sysmon-Telemetrie unverzichtbar.

Geplante Aufgaben bestehen im Kern aus Trigger und Aktion: Der Trigger definiert Zeitpunkt oder Ereignis, die Aktion bestimmt das auszuführende Programm oder Skript. Trotz moderner Angriffsmethoden bleiben diese Bordmittel ein bevorzugtes Werkzeug – weil sie schlicht zuverlässig funktionieren.

Speicherorte für geplante Aufgaben

Auf einem modernen Windows-System befinden sich geplante Aufgaben oft an verschiedenen Speicherorten. In der Regel finden Sie diese an den folgenden Speicherorten. Beachten Sie, dass diese je nach Windows-Version variieren können.

• C:\windows\tasks
• C:\windows\system32\tasks
• C:\windows\system32\config\SOFTWARE
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
• %localappdata%\Microsoft\Windows\PowerShell\ScheduledJobs

Ereignisprotokolle 

Geplante Aufgaben werden auch in den Windows-Ereignisprotokollen angezeigt! Glücklicherweise verfügen moderne Windows-Systeme über ein spezielles oder benutzerdefiniertes Ereignisprotokoll namens „TaskScheduler“, das die Ereignis-ID (EID) 106 verwendet. Das Ereignisprotokoll enthält Angaben dazu, wann die Aufgabe erstellt wurde, von wem sie erstellt wurde, welche Aktion ausgeführt wurde, wodurch sie ausgelöst wurde und alle Daten zur Aufgabe! Wie Sie sich vorstellen können, ist dies ein idealer Ort, um nach bösartigen geplanten Aufgaben zu suchen! Wenn Sie einen Zeitrahmen für die Aktivität haben, gehen Sie direkt zum Ereignisprotokoll „TaskScheduler“, geben Sie die EID 106 ein und sehen Sie, was Sie finden!

Unten sehen Sie das rohe Ereignisprotokoll für ein Beispiel!

Sicherheitsereignisprotokoll

Geplante Aufgaben werden auch im Sicherheitsereignisprotokoll angezeigt, sofern konfiguriert, unter der EID 4698. Beachten Sie, dass EID 4698 standardmäßig nicht aktiviert ist. Überprüfen Sie daher Ihre Gruppenrichtlinie oder lokale Konfigurationsrichtlinie.

Sonsitges

Da es viele Möglichkeiten gibt, eine geplante Aufgabe auszuführen, können diese überall dort erscheinen, wo Sie die Überwachung der Befehlszeile oder die Prozessausführung konfiguriert haben! Denken Sie dabei an Telemetriedaten wie Ihre EDR, Sysmon, PowerShell-Protokolle, WMI-Protokolle usw. Aus diesem Grund sind die Überwachung der Befehlszeile und die Prozessverfolgung so wichtig!

Datei und Format für geplante Aufgaben

Das Öffnen einer Datei mit geplanten Aufgaben ist recht einfach. Diese können problemlos in Ihrem bevorzugten Texteditor geöffnet werden. Nach dem Öffnen sehen Sie diese in einem gängigen XML-Format, das den Auslöser, die Aktion, den Prinzipal (Benutzer oder Berechtigungen) und einige weitere Informationen beschreibt. Navigieren Sie zu C:\Windows\System32\Tasks und sehen Sie selbst! Wahrscheinlich laufen auf Ihrem eigenen System viele geplante Aufgaben und es gibt sogar Ordner mit zusätzlichen Aufgaben innerhalb des übergeordneten Ordners „Tasks“. Aus diesem Grund ist es wichtig, einen Zeitplan zu erstellen und Drehpunkte in Ihrer Untersuchung zu identifizieren, um die bösartige Aufgabe zu identifizieren. Konzentrieren Sie sich beispielsweise auf Ihren TOI (Timeframe of Interest), einen verdächtigen Benutzer, ein bestimmtes Ereignis usw. Durch die Erstellung einer „Artefaktkonstellation“ und einer forensischen Zeitleiste können Sie bösartige Aktivitäten leicht identifizieren!

Öffnen wir eine zufällige Aufgabendatei, die ich auf meinem eigenen PC für einen „AMD Installer“ habe. Hier sehen wir

• Registrierungsinformationen – Enthält das Datum, den Autor und eine Beschreibung der Aufgabe
• Auslöser – Falls vorhanden, werden hier bestimmte Ereignisse beschrieben, die eintreten müssen, bevor die Aufgabe ausgeführt werden kann
• Wichtige Informationen – Wer hat die Aufgabe erstellt, die Ausführungsstufe und den verwendeten Anmeldetyp
• Einstellungen für die Aufgabe – z. B. spezifische Vorgaben zum Beenden der Aufgabe, ob sie aktiviert ist oder nicht (überprüfen Sie dies bei Untersuchungen immer, damit Sie genau berichten können, ob eine Aufgabe aktiviert ist oder nicht)
• und die wahrscheinlich wichtigste Einstellung, die Aktionen, die beschreiben, was die Aufgabe tut – insbesondere den Befehl und die Argumente

Am häufigsten werden Sie ein Zeitauslöser-Element in der Aufgabendatei sehen. Starten Sie beispielsweise die Aufgabe am 17.08.2025 um 08:00:00 Uhr und wiederholen Sie die Ausführung alle 30 Minuten. Nachfolgend finden Sie ein Beispiel hierfür. Wie wir sehen können, gibt diese Aufgabe eine Startzeit an, ob sie aktiviert ist, wie oft sie ausgeführt wird und ob es nach der Ausführung zu Verzögerungen kommt.

Gemäß der Dokumentation von Microsoft gibt das Element „Repetition“ (Wiederholung) den Zeitraum zwischen jedem Neustart der Aufgabe an. Das Format wird wie folgt beschrieben: P<Tage>DT<Stunden>H<Minuten>M<Sekunden>S. In diesem Beispiel wird die Aufgabe jeden Tag ausgeführt. Dies ist ein gutes Beispiel für ein komplexes Zeitintervall, das von Microsoft beschrieben wird: PT5M gibt 5 Minuten an und P1M4DT2H5M gibt einen Monat, vier Tage, zwei Stunden und fünf Minuten an. Das P steht für die „Periode“ (z. B. Jahre, Monate, Tage), das D steht für die Tage, das T ist ein Zeitseparator, auf den die Stunden, Minuten und Sekunden folgen, die durch H, M und S dargestellt werden.

Microsoft verfügt über eine umfangreiche Dokumentation, in der jeder einzelne Teil einer geplanten Aufgabe aufgeschlüsselt ist. Diese kann hier eingesehen werden.

Analyse geplanter Aufgaben

Im Beitrag wird erläutert, wie bösartige geplante Aufgaben untersucht werden können. Zwar lassen sich nicht alle Varianten der Erstellung abdecken, doch einige typische Beispiele werden vorgestellt, die vor allem bei Vorfällen wie Ransomware-Angriffen oder Persistenz durch Initial Access Broker eine Rolle spielen.

Ein erstes Beispiel zeigt eine einfache, intervallbasierte Aufgabe, die täglich ausgeführt wird. Ziel ist es, diese Aufgabe im Detail zu zerlegen und nachzuvollziehen, welche Aktionen sie tatsächlich ausführt.

Was sind einige der wichtigsten Teile dieser Aufgabe, auf die Ihre Augen oder Ihre „detektivische Denkweise“ sofort gefallen sind? Sind Sie direkt zum Auslöser gegangen und haben gesehen, dass dieser am 17.08.2025 um 12:00:00 Uhr startet? Ist Ihnen aufgefallen, dass dies jeden Tag zu dieser Uhrzeit ausgeführt wird? Was macht die Aufgabe? Ist Ihnen aufgefallen, dass sie notepad.exe verwendet, um eine Datei namens „example1.txt“ zu öffnen? Was wären Ihre nächsten Schritte?

Kommen wir zu einem häufigeren Beispiel, bei dem es um Persistenz geht! Was ist das Besondere daran? Wie wird es ausgelöst?

Haben Sie festgestellt, dass dies bei der Benutzeranmeldung ausgelöst wird?
Sehen wir uns ein komplexeres Beispiel an! Finden Sie heraus, was hier passiert!

Verdächtige Auffälligkeiten bei geplanter Aufgabe

Auf den ersten Blick wirkt eine Aufgabe unter C:\Windows\System32\Tasks\Microsoft\Windows\Update\TelemetryUpdater legitim – schließlich suggeriert der Name einen Bezug zu Windows-Telemetrie. Doch bei genauerer Betrachtung zeigen sich Unstimmigkeiten: Die Aufgabe läuft im Fünf-Minuten-Intervall und startet eine Datei namens svchost32.exe aus C:\ProgramData\System. Dieser Speicherort weicht vom üblichen Pfad ab. Zudem enthält der ausgeführte Befehl das Wort „miner“ und übergibt Parameter über Port 333 an eine bestimmte URL – klare Hinweise auf eine schadhafte Nutzung.

Das Beispiel verdeutlicht, wie wichtig es ist, sich bei der Analyse auf Auslöser, Prinzipal und Aktion einer geplanten Aufgabe zu konzentrieren. Nur so lassen sich schnell die entscheidenden Indikatoren erkennen.

Erstellen einer geplanten Aufgabe

Wie oben erwähnt, gibt es viele Möglichkeiten, wie ein TA eine geplante Aufgabe erstellen kann. Sie können native Tools wie die Eingabeaufforderung, Terminal, PowerShell verwenden, diese in ihre eigenen Skripte integrieren, die GUI des Taskplaners verwenden usw. Oft sehen wir dies jedoch als Teil eines bösartigen Skripts oder einer Befehlszeile, die vom Angreifer bereitgestellt wird. Sehen wir uns im Folgenden einige Beispiele an.

Schtasks – Aufruf über die Befehlszeile

Ein gängiges Beispiel ist die Ausführung von „schtasks.exe“ aus einem eigenen Tool, die in der Befehlszeile des Tools protokolliert wird.

Ein gutes Beispiel hierfür ist etwa Folgendes

schtasks /create /sc minute /mo 5 /tn „Microsoft\Windows\Update\TelemetryUpdater“ /tr „C:\ProgramData\System\svchost32.exe --url=stratum://fakepool.local:3333 --user=guest --pass=x“ /ru SYSTEM

Was macht diese Aufgabe? Wenn Sie diese Befehlszeile sehen, können Sie sie nun auseinandernehmen? Microsoft bietet hier weitere hervorragende Dokumentation zur ausführbaren Datei schtasks.exe. Wenn wir dies auseinandernehmen, können wir ableiten, dass die Befehlszeile schtasks.exe verwendet, um eine Aufgabe zu erstellen, die alle 5 Minuten ausgeführt wird, den Namen „TelemetryUpdater“ hat, sich in C:\Windows\System32\Tasks\Microsoft\Windows\Update befindet und mit der Befehlszeile

 C:\ProgramData\System\svchost32.exe --url=stratum://fakepool.local:3333 --user=guest --pass=x” als Benutzer „SYSTEM” ausgeführt.

Konkret verwendet der Befehl die folgenden Parameter

• /create – Gibt an, dass eine Aufgabe erstellt werden soll
• /sc – Gibt den Zeitplantyp an, z. B. minute, hourly, daily, weekly, onstart, onlogon, onevent usw.
• Minute – gibt an, dass die Aufgabe im Minutenrhythmus ausgeführt wird
• /mo – ist der Modifikator; er gibt an, wie oft die Aufgabe ausgeführt wird, in diesem Fall alle 5 Minuten
• /tn – ist der Name der Aufgabe, der die URI oder den Pfad der Aufgabendatei enthält, die häufig unter C:\Windows\System32\Tasks beginnt
• /tr – Dies ist die Aufgabenausführung, also die Befehlszeile oder das Programm, das die Aufgabe ausführt. Der vollständige Pfad ist erforderlich.
• /ru – Dies ist der Benutzer, unter dem die Aufgabe ausgeführt werden soll.

PowerShell

PowerShell unterstützt natürlich auch die Erstellung/Ausführung einer geplanten Aufgabe mithilfe der unterstützten Cmdlets. Konkret wird hierfür das Cmdlet „New-ScheduledTask“ verwendet. Wie Sie vielleicht schon vermutet haben, finden Sie die Dokumentation dazu hier.

Mit PowerShell können dieselben Parameter wie Aktion, Auslöser, Aufgabenname und mehr angegeben werden. Ein gutes Beispiel dafür finden Sie unten. Jetzt sollten Sie ein Profi sein und genau wissen, was dieser Befehl bewirkt!

Möglicherweise sehen Sie auch eine Base64-Verschleierung!

Powershell -NoP -W Hidden -Enc JEFjdGlvbiA9IE5l... <DEFANGED>

WMI

Wenn Sie PowerShell kennen, vermuten Sie wahrscheinlich, dass WMI auch zum Erstellen einer Aufgabe verwendet werden kann! Dies kann mit PowerShell und dem Cmdlet „Get-WmiObject“ aufgerufen werden!

$Task = Get-WmiObject -Namespace „root\cimv2“ -Class Win32_ScheduledJob $Task.Create(„C:\Users\Public\updater.exe --url=stratum://fakepool:4444 --user=guest“, "********050000.000000-000")

Wie Sie sich vielleicht denken können, gibt es zahlreiche Möglichkeiten, eine böswillige Nutzung dieser Funktion zu erkennen! Ihnen fallen bestimmt sofort verschiedene Untersuchungstechniken, Artefakte, Protokolle, Telemetriedaten und Signaturen ein, mit denen Sie solche Vorfälle aufdecken können!

Mit diesem Artikel haben Sie hoffentlich eine solide Grundlage dafür, was eine geplante Aufgabe ist, wo Sie sie finden und welche wichtigen Elemente Ihnen helfen, „bösartige“ Aufgaben schnell zu identifizieren.

Wichtige Erkenntnisse

• Angreifer erstellen nicht immer neue Aufgaben – sie können auch bestehende Aufgaben ändern, um sich besser zu tarnen.
• Vertrauen Sie nicht dem Namen der Aufgabe – überprüfen Sie immer den Pfad und die ausgeführte Aktion.
• Protokolle können manipuliert werden – TaskScheduler-Protokolle können gelöscht werden. Leiten Sie daher Protokolle weiter und verlassen Sie sich für die Ausfallsicherheit auf EDR/Sysmon-Telemetriedaten.
• Kennen Sie Ihre Dreh- und Angelpunkte – Auslöser, Aktionen, Prinzipale und übergeordnete Prozesse verraten oft die Absicht.
• Event Hunting ist wichtig – suchen Sie nach der Ereignis-ID 106 im TaskScheduler und 4698 im Sicherheitsprotokoll (wenn erweiterte Überwachung aktiviert ist).
• Überprüfen Sie den Auslöser – kurze, sich wiederholende Intervalle (z. B. alle 5 Minuten) sind deutliche Warnsignale.
• Überprüfen Sie die XML-Dateien direkt – Aufgabendateien in C:\Windows\System32\Tasks sind einfache XML-Dateien; öffnen Sie sie, um Befehlszeilen und Argumente zu überprüfen.
• Es gibt mehrere Erstellungsmethoden – schtasks.exe, PowerShell, WMI oder sogar die GUI. Erkennen Sie alle und konzentrieren Sie sich auf Befehlszeilenargumente.
• Nicht standardmäßige Verzeichnisse sind verdächtig – achten Sie auf Binärdateien in C:\ProgramData\, C:\Users\Public\, %TEMP% oder umbenannte „systemähnliche“ ausführbare Dateien.
• Normale Aufgaben als Basiswert festlegen – machen Sie sich klar, welche geplanten Aufgaben in Ihrer Umgebung vorhanden sein sollten, damit Anomalien schnell auffallen.

Lesen Sie auch

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky