Unter Windows zeigt eine Warnung eine neue geplante Aufgabe, die PowerShell aus %TEMP% startet. Was ist das wahrscheinlich und Ihre Maßnahme?
Kurzantwort
Legitime Software führt PowerShell nur selten über eine frisch erstellte geplante Aufgabe aus %TEMP% aus — das ist eine verbreitete Persistenz- und Ausführungstechnik. Untersuchen Sie die Aufgabendefinition, das aufgerufene Skript, den erstellenden Prozess und die Zeitachse, dämmen Sie den Host ein und durchsuchen Sie die Umgebung nach demselben Muster. Updates sehen nicht so aus, blindes Vertrauen in geplante Aufgaben ignoriert eine bekannte TTP, und das Löschen von System32 zerstört das Betriebssystem, ohne etwas gegen die Bedrohung zu tun. Die ersten drei Optionen spiegeln allesamt gefährlich schwaches Urteilsvermögen wider.
%TEMP% ist ein temporäres Verzeichnis, das keine legitime, installierte Anwendung als dauerhaften Ablageort für Code nutzt, dessen Ausführung sie plant. Eine neu erstellte geplante Aufgabe, die powershell.exe gegen ein Skript in %TEMP% startet, vereint zwei Lieblinge von Angreifern: einen dauerhaften Autostart-Mechanismus und einen Skriptinterpreter, der vom Gelände lebt. Behandeln Sie sie standardmäßig als verdächtig.
Die richtige Maßnahme: triagieren, dann eindämmen
Arbeiten Sie die Beweise der Reihe nach ab:
- Lesen Sie die Aufgabendefinition — ihren Auslöser, die genaue Befehlszeile, das Ausführungskonto und den Erstellungszeitpunkt.
- Ziehen Sie das Skript aus
%TEMP%und analysieren Sie es; rechnen Sie mit Verschleierung, base64 oder einem Downloader, der eine zweite Stufe nachlädt. - Identifizieren Sie den erstellenden Prozess und dessen übergeordneten Prozess, um zu verstehen, wie die Aufgabe dorthin kam (ein Makro? eine abgelegte Binärdatei? eine Remote-Erstellung?).
- Erstellen Sie eine Zeitachse rund um den Erstellungszeitpunkt, um zu sehen, was sonst noch geschah.
- Dämmen Sie den Host ein (per EDR vom Netzwerk isolieren, eingeschaltet lassen, um den Speicher zu bewahren).
- Jagen Sie dieselbe TTP in der gesamten Flotte — derselbe Aufgabenname, Skript-Hash oder dasselbe Befehlszeilenmuster ist oft anderswo gelandet.
Warum die Ablenker gefährlich sind
- „Ein routinemäßiges Windows-Update" — Windows Update legt keine PowerShell-Skripte im
%TEMP%eines Benutzers über eine neue Aufgabe ab. Es als Routine zu bezeichnen, ist die Art und Weise, wie echte Eindringversuche als Fehlalarme geschlossen werden. - „Geplante Aufgaben sind immer sicher" — sie sind eine dokumentierte MITRE-ATT&CK-Persistenztechnik (T1053.005); blindes Vertrauen ist genau der blinde Fleck, auf den Angreifer setzen.
- „Den Ordner System32 löschen" — das ist der alte Scherz im Gewand eines Ratschlags; er lähmt das Betriebssystem und tut nichts gegen die Bedrohung. Ihn zu wählen, zeigt kein Verständnis des Systems.
Was der Interviewer prüft
Ob Sie ein klassisches Persistenzmuster erkennen, der Versuchung widerstehen, es wegzuerklären, und einer disziplinierten Abfolge aus Triagieren, dann Eindämmen, dann Jagen folgen, statt destruktiv zu reagieren.
Wahrscheinliche Anschlussfragen
- Welche Windows-Ereignis-IDs erfassen die Erstellung geplanter Aufgaben, und wie würden Sie zum erstellenden Prozess pivotieren?
- Wie würden Sie eine verschleierte oder base64-codierte PowerShell-Befehlszeile sicher dekodieren und analysieren?
- Wie bestimmen Sie nach der Eindämmung, ob andere Hosts dieselbe Aufgabe erhalten haben?