Techniques de mouvements latéraux en environnement Windows : tâches planifiées

Spécialité(s)


Résumé

Les tâches planifiées à distance peuvent être exploitées pour exécuter du code arbitraire à distance. Elles offrent un moyen efficace de se déplacer latéralement au sein d'un système d'information Windows. Dans cet article, les concepts techniques associés aux tâches planifiées et artefacts forensics seront détaillés.


Ce second article [0] se concentre sur le déplacement latéral via la création de tâches planifiées.

1. Exécution de code à distance via la création de tâches planifiées

1.1 Schtasks

1.1.1 Fonctionnement et prérequis

schtasks.exe [1] est un utilitaire natif Windows permettant la configuration de tâches planifiées (il succède à at.exe). Des tâches planifiées peuvent être configurées à distance sur des machines Windows, et permettent ainsi de conduire des mouvements latéraux dans un SI.

Les prérequis suivants sont nécessaires afin de créer, exécuter puis supprimer une tâche planifiée sur une machine distante :

  • disposer des droits de démarrage du service « Task Scheduler » ainsi que d’écriture sur le dossier C:\Windows\Tasks sur la machine ciblée, et donc typiquement être administrateur ;
  • avoir un accès réseau au service « Remote Scheduled Tasks Management (RPC-EPMAP) » accessible au travers du réseau via le port 135 TCP,...
Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous