At

Злоумышленники могут злоупотреблять утилитой at для планирования задач для первоначального или повторяющегося выполнения вредоносного кода. Утилита at существует как исполняемый файл в Windows, Linux и macOS для планирования задач в указанное время и дату. Хотя в средах Windows она устарела в пользу schtasks для Запланированных задач, использование at требует, чтобы служба планировщика задач была запущена, а пользователь был зарегистрирован как член локальной группы администраторов. Помимо явного запуска команды `at`, злоумышленники также могут запланировать задачу с помощью at, напрямую используя WMI-класс Инструментария управления Windows `Win32_ScheduledJob`. В Linux и macOS at может быть вызван суперпользователем, а также любыми пользователями, добавленными в файл at.allow. Если файл at.allow не существует, проверяется файл at.deny. Каждое имя пользователя, не указанное в at.deny, может вызывать at. Если файл at.deny существует и пуст, разрешено глобальное использование at. Если ни один из файлов не существует (что часто является базовой конфигурацией), только суперпользователь может использовать at. Злоумышленники могут использовать at для выполнения программ при запуске системы или по расписанию для Закрепления. at также может быть использован для удаленного Выполнения в рамках Перемещения внутри периметра и/или для запуска процесса в контексте указанной учетной записи (например, SYSTEM). В средах Linux злоумышленники также могут злоупотреблять at для выхода из ограниченных сред, используя задачу для порождения интерактивной системной оболочки или для выполнения системных команд. Аналогично, at также может использоваться для Повышения привилегий, если бинарному файлу разрешено работать как суперпользователю через sudo.