Uma nova ferramenta de segurança de código aberto, TaskHound, ajuda testadores de penetração e profissionais de segurança a identificar tarefas agendadas de alto risco do Windows que podem expor os sistemas a ataques.
A ferramenta descobre automaticamente tarefas em execução com contas privilegiadas e credenciais armazenadas, tornando-se uma adição valiosa às avaliações de segurança.
O que torna o TaskHound diferente?
TaskHound se destaca por automatizar a descoberta de tarefas agendadas perigosas em redes Windows.
Em vez de pesquisar manualmente nos logs do sistema, a ferramenta verifica máquinas remotas em SMB e analisa arquivos XML de tarefas para identificar pontos fracos de segurança.
RecursoUsar detecção de casoTier 0Identificar exposição de conta administrativa de alto valorIntegração BloodHoundCorrelacionar tarefas com caminhos de ataque para avaliação de riscoAnálise de senhaTrabalhar com a infraestrutura existente do BloodHoundAnálise off-lineAnalisar tarefas em ambientes conscientes de OPSECImplementação BOFOperações baseadas em beacon sem acesso direto à redeDetecção de proteção de credenciaisAvaliar a probabilidade de sucesso de dump DPAPIResolução SIDMelhorar a legibilidade em ambientes mistos de SID/nome de usuárioSuporte multiformatoTrabalhar com os existentes Infraestrutura BloodHoundAutenticação flexívelAutenticação flexível para vários cenários de redeVários formatos de saídaIntegrar descobertas em fluxos de trabalho de segurança e relatórios
Ele procura tarefas executadas como contas administrativas, usuários privilegiados ou contas de nível 0, normalmente os alvos de maior valor para os invasores.
A ferramenta se integra ao BloodHound, uma popular plataforma de visualização de segurança de rede.
Essa integração permite que as equipes de segurança correlacionem automaticamente as tarefas agendadas com os dados do caminho de ataque do BloodHound, revelando quais tarefas representam o risco mais significativo em seu ambiente.
TaskHound inclui vários recursos poderosos para caçadores de ameaças. Ele detecta automaticamente tarefas atribuídas a usuários de nível 0, como administradores de domínio e administradores corporativos.
A ferramenta analisa quando as credenciais foram alteradas pela última vez em comparação com quando as tarefas foram criadas, ajudando a identificar senhas antigas que podem ser vulneráveis a cracking offline.
A plataforma suporta tanto o BloodHound Community Edition moderno quanto os formatos legados do BloodHound, tornando-a compatível com a infraestrutura de segurança existente.
TaskHound também pode trabalhar offline, analisando arquivos XML coletados anteriormente sem exigir acesso direto à rede.
Para operadores que usam AdaptixC2, a ferramenta inclui uma implementação de Beacon Object File. Durante um teste de penetração, o TaskHound identifica rapidamente oportunidades de exploração.
As tarefas executadas em contas comprometidas podem ser manipuladas para obter acesso ao sistema.
A ferramenta fornece relatórios detalhados mostrando locais de tarefas, credenciais associadas, datas de criação e próximas etapas recomendadas para cada descoberta.
Saída da ferramenta Taskhound
O criador enfatiza considerações estritas de OPSEC (segurança operacional). Como a ferramenta depende de operações SMB padrão, os defensores da rede poderiam detectar sua atividade.
Para avaliações confidenciais, os usuários podem empregar a versão autônoma do BOF ou coletar tarefas manualmente para análise offline.
O roteiro do projeto inclui um conector direto de banco de dados BloodHound e um módulo NetExec dedicado para expandir a integração com outras estruturas de segurança populares.
O desenvolvedor do GitHub também planeja extração automatizada de credenciais para descriptografia offline.
TaskHound preenche uma lacuna essencial na avaliação de escalonamento de privilégios do Windows, automatizando um tedioso processo manual e ao mesmo tempo fornecendo inteligência acionável para equipes de segurança que protegem redes corporativas.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
