0xr0BIT создал TaskHound для аудита. Или для атак. Зависит от того, кто его запустит

Разработчик под ником 0xr0BIT выпустил новый инструмент для аудита безопасности Windows — TaskHound. Он предназначен для поиска задач планировщика, которые работают с привилегированными правами или используют сохранённые учётные данные, что делает их ценными целями для атакующих.

TaskHound перечисляет задания через SMB, анализирует их XML-описания и выделяет опасные элементы. Особое внимание уделяется задачам уровня Tier-0: от имени администраторов домена, контроллеров и других ключевых учётных записей.

Результаты можно экспортировать в форматы BloodHound и BloodHound Community Edition для построения графов атак. Программа автоматически определяет формат и использует встроенные механизмы для поиска «высокоценных» задач.

Инструмент включает анализ паролей: дата изменения проверяется относительно даты создания задачи. Это позволяет понять, можно ли использовать сохранённые данные для атак с DPAPI-дампами.

Поддерживается офлайн-режим — анализ ранее собранных XML без подключения к хостам. Для C2-сред предусмотрена отдельная BOF-реализация, совместимая с AdaptixC2.

Аутентификация возможна через пароль, NTLM-хэши или Kerberos. Вывод доступен в формате текста, JSON и CSV. Кроме того, сохраняются исходные XML-файлы, которые можно разобрать повторно.

Среди экспериментальных возможностей — проверка статуса Credential Guard через удалённый реестр. Разработчик предупреждает, что эти функции небезопасны для боевых систем и протестированы только в лабораторных условиях.

С точки зрения OPSEC TaskHound использует библиотеку impacket для SMB/RPC/Kerberos-операций. Это оставляет стандартные индикаторы. Чтобы снизить риски, автор советует работать через BOF-реализацию или анализировать XML офлайн.

В планах — модуль NetExec, автоматическое извлечение credential-blob для офлайн-расшифровки и поддержка пользовательских карт Tier-0. Также рассматривается интеграция с OpenGraph для наглядной визуализации цепочек атак.

Разработчик подчёркивает: TaskHound создан для аудита и обучения. Использовать его можно только в средах, где получено разрешение владельца инфраструктуры.