En Windows, una alerta muestra una nueva tarea programada que lanza PowerShell desde %TEMP%. ¿Qué es probablemente y cuál es tu acción?
Respuesta breve
El software legítimo rara vez ejecuta PowerShell desde %TEMP% mediante una tarea programada recién creada — es una técnica común de persistencia y ejecución. Examina la definición de la tarea, el script invocado, el proceso creador y la cronología, contén el host y barre el entorno en busca del mismo patrón. Las actualizaciones no se ven así, confiar ciegamente en las tareas programadas ignora una TTP conocida, y borrar System32 rompe el sistema operativo sin hacer nada contra la amenaza. Las tres primeras opciones reflejan un criterio peligrosamente débil.
%TEMP% es un directorio temporal que ninguna aplicación legítima e instalada usa como ubicación permanente para el código que programa ejecutar. Una tarea programada recién creada que lanza powershell.exe contra un script en %TEMP% combina dos favoritos de los atacantes: un mecanismo de autoarranque duradero y un intérprete de scripts que vive del terreno. Trátala como sospechosa por defecto.
La acción correcta: triar, luego contener
Trabaja las pruebas en orden:
- Lee la definición de la tarea — su disparador, la línea de comandos exacta, la cuenta de ejecución y la hora de creación.
- Extrae el script de
%TEMP%y analízalo; espera ofuscación, base64 o un descargador que obtiene una segunda etapa. - Identifica el proceso creador y su padre para saber cómo llegó la tarea (¿una macro? ¿un binario depositado? ¿creación remota?).
- Construye una cronología en torno a la hora de creación para ver qué más ocurrió.
- Contén el host (aíslalo de la red vía EDR, mantenlo encendido para preservar la memoria).
- Caza la misma TTP en toda la flota — el mismo nombre de tarea, hash de script o patrón de línea de comandos a menudo aterrizó en otros sitios.
Por qué los distractores son peligrosos
- «Una actualización rutinaria de Windows» — Windows Update no deposita scripts PowerShell en el
%TEMP%de un usuario mediante una nueva tarea. Llamarla rutinaria es cómo se cierran intrusiones reales como falsos positivos. - «Las tareas programadas siempre son seguras» — es una técnica de persistencia documentada por MITRE ATT&CK (T1053.005); la confianza ciega es exactamente el punto ciego del que dependen los atacantes.
- «Borrar la carpeta System32» — es la vieja broma disfrazada de consejo; inutiliza el sistema operativo y no hace nada contra la amenaza. Elegirla revela una nula comprensión del sistema.
Qué está evaluando el entrevistador
Si reconoces un patrón de persistencia de manual, te resistes a explicarlo como benigno, y sigues una secuencia disciplinada de triar-luego-contener-luego-cazar en lugar de reaccionar de forma destructiva.
Posibles preguntas de seguimiento
- ¿Qué IDs de evento de Windows registran la creación de tareas programadas, y cómo pivotarías hacia el proceso creador?
- ¿Cómo decodificarías y analizarías de forma segura una línea de comandos PowerShell ofuscada o codificada en base64?
- Tras la contención, ¿cómo determinas si otros hosts recibieron la misma tarea?