Zamanlandırılmış Görevler


Zamanlanmış görevler, çeşitli programların bir kez veya düzenli olarak zamanlanmış olarak yürütülmesine izin verir. Bu çok faydalı olabilir; örneğin aşağıdaki resimde belirtildiği gibi saldırganın oluşturduğu tetikleyici görülebilir. Siber olaya müdahale eden uzman, zamanlandırılmış var olan bir programı yada hizmeti durdursa bile yeni oluşturulmuş bir zamanlandırılmış görev ile saldırganların veri sızdırmaya devam ettiğini fark etmeyebilir. İnceleme bittikten yeni inceleme yapılana kadar yada sızıntı fark edilene kadar saldırganlar sistemde kalmaya devam edebilir.


Ekran Alıntısı 1: Devreye Girmiş Zamanlanmış Görev

Bu bağlamda siber suçluların kalıntılarını bıraktıkları yerlerin başlarında zamanlandırılmış görevler gelmektedir. İnceleme yapan uzmanın bir zararlı yazılımı tespit edip sonlandırması bazen yeterli olmaz. Zamanlandırılmış görevlere atanan bir zararlı tetikleyici sızıntı programını tekrar aktif edebilir.


Windows sistemleri, kullanıcı tarafından belirlenen bir zamanlamaya göre görevleri yürütmek de dahil olmak üzere çok sayıda işlevselliğe sahiptir. Bunlara zamanlanmış görevler denir. Komut olarak "Schtasks.exe" aracı veya yada zamanlanmış görev sihirbazı kullanılarak erişilebilir.


Ekran Alıntısı 2: Zamanlanmış Görevin Komut Satırından Tespiti

Windows 10'da, .job dosyaları "\ Windows \ System32 \ Tasks" klasörünün yanı sıra, altındaki alt klasörleri de XML biçiminde (yani, Windows 10 API'sı ile gösterilen dosyalar) depolar; ve bunları not defteri gibi bir metin düzenleyicide okuyabilirsiniz. Buna bir örnek, iTunes veya başka bir Apple ürününü kurarsanız, büyük olasılıkla sisteminizde "C:\Windows\Tasks" dizinindeki "AppleSoftwareUpdate.job" dosyasını göreceksiniz.


Bununla birlikte, zamanlanmış bir görevin varlığı her zaman doğrudan görevi oluşturan bir kullanıcıyla ilişkilendirilemez, çünkü bu görevler programlı olarak uygun API çağrılarıyla (uygun kimlik bilgileriyle uzaktan erişilebilir) oluşturulabilir. Bu nedenle zamanlanmış bir görevin varlığı, bir yazılım yüklemesiyle veya bazı durumlarda bir kötü amaçlı yazılım bulaşması ya da tehlikesiyle ilişkilendirilebilir.



Windows sistemleri, zamanlanmış bir görev oluşturmak için kullanıcı içeriğinin yönetici düzeyinde erişim hakkına sahip olması gerekir. Görev yürütüldüğünde, çalışan görevin kendisi sistem düzeyinde ayrıcalıklara sahiptir. Bu özellik, sistem düzeyinde yetkilere geçici olarak ihtiyaç duyulduğunda, yönetici için çok yararlı olabilir; yönetici komut istemini başlatmak için zamanlanmış bir görev oluşturabilir(örneğin "cmd.exe") komut istemi göründüğünde, ve istediği kodu ve yetkiyi alarak sisteminizi ele geçirebilir. Bu, bir analist için değerlidir. Zamanlanmış görevler, kötü amaçlı yazılımlar için bir kalıcılık mekanizması ve davetsiz misafirlerin sisteme girmesine izin vermek için Truva atlarını, arka kapıları veya meşru uzaktan erişim hizmetlerini etkinleştirmek için bir zamanlandırılmış görevler kullanılır.






Windows 10, önceden yüklenmiş bir dizi zamanlanmış görevle birlikte gelir; örneğin, RegIdleBackup görevi, Kayıt Defterini ("\ Windows \ Systems32 \ config \ RegBack" klasörüne) her 10 günde bir yedekler ve sınırlı birleştirme haftada bir kez planlanır. Bu görevler, görev zamanlayıcı kontrol paneli uygulaması (yönetimsel araçlar içinde bulunur) aracılığıyla canlı bir Windows 10 sisteminde görüntülenebilir.






Analistin kullanabileceği bir diğer yararlı bilgi, "SchedLgU.txt" adlı zamanlanmış görevler günlük dosyası vardır. Bu dosya varsayılan olarak 32 kilobayt (KB) boyutundadır ve Windows'taki "\ Windows \ Tasks" dizininde bulunur. Bu dosya yalnızca Görev Zamanlayıcı hizmetinin belirli bir tarih ve saatte başlatıldığını veya çıkıldığını belirtir. Ayrıca Görev zamanlayıcı programının grafiksel ara yüzünü kullanarak kontroller gerçekleştirebilirsiniz.



Bu günlük ayrıca çıkış kodlarıyla birlikte yürütülen çeşitli görevlerin kaydını tutar. Bazı durumlarda, izinsiz girişle ilişkilendirilen ve harici bir veri kaynağıyla (örneğin ağ trafiği vb.) onaylanan görevlerin göstergeleri bulunur. Bu gibi durumlarda görev, etkilenen etki alanı yöneticisi kimlik bilgileri kullanılarak uzak bir sistemden oluşturulur ve görev tamamlandığında silindiğine dair ibareleri incelemecinin tespit etmesine imkan verir.