SIGMA KURALI
title: PowerShell veya CMD ile Reverse Shell için Zamanlanmış Görevlerin Tespiti
id: 58c7a8f9-24cb-4be3-9f26-cc12e9cf873b
status: stable
description: |
Bu kural, "schtasks" komutuyla her dakika çalıştırılmak üzere zararlı çalıştırılabilir dosyalar (.exe) kullanan zamanlanmış görev oluşturulmasını tespit eder.
logsource:
category: process_creation
product: windows
detection:
selection_cmd:
Image|endswith: '\cmd.exe'
CommandLine|contains|all:
- 'schtasks'
- '/create'
- '/sc'
- '/mo'
- '/tr'
- '.exe'
condition: selection_cmd
fields:
- CommandLine
- Image
- ParentImage
- AccountName
- CurrentDirectory
- Hostname
falsepositives:
- Yönetici tarafından oluşturulan güvenilir zamanlanmış görevler
level: high
tags:
- attack.persistence
- attack.t1053.005
- attack.command_and_control
references:
- https://attack.mitre.org/techniques/T1053/005/