Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1794
)
-
▼
diciembre
(Total:
132
)
-
El nuevo router de bolsillo Firewalla Orange con W...
-
Hackeo masivo: filtran datos de clientes del Grupo...
-
Nuevo kit de phishing BlackForce roba credenciales...
-
España pone fecha de caducidad al spam teléfonico
-
Kali Linux 2025.4: 3 nuevas herramientas de hackin...
-
Nintendo pierde 14.000 millones de dólares en capi...
-
OpenAI no escatima en elogios hacia el nuevo GPT-5...
-
The Game Awards: un GOTY esperado, otros ganadores...
-
La NASA pierde el contacto con la sonda MAVEN de M...
-
MITRE publica las 25 vulnerabilidades de software ...
-
ChatGPT 5.2 vs Gemini 3 vs Claude 4.5: qué IA es m...
-
Nuevas vulnerabilidades en React Server Components
-
ChatGPT tendrá un modo para adultos en 2026
-
Formas de grabar la pantalla del PC y editar el ví...
-
Parece una tarjeta MicroSD, pero es el nuevo Mini ...
-
Hispasat acaba con el sueño de convertirse en el S...
-
Google presentará sus primeras gafas inteligentes ...
-
El estado alemán de Schleswig-Holstein prevé un ah...
-
Intel dará prioridad a Panther Lake y Nova Lake pa...
-
Vulnerabilidad de Notepad++ permite instalar malware
-
Android añade función de emergencia mediante vídeo
-
China excluye a NVIDIA de su lista oficial de prov...
-
Meses de caos en la comunidad Linux: Rust gana a C...
-
Disney acusa a Google de infringir los derechos de...
-
Intel no logra anular multa antimonopolio de la UE
-
Sony quiere que una IA permita al usuario censurar...
-
Microsoft quiere impulsar a Xbox gracias a recuper...
-
OpenAI presenta GPT-5.2, su nuevo modelo en en res...
-
Nuevas vulnerabilidades .NET "SOAPwn" exponen disp...
-
Candidato de doctorado de UC Berkeley sabotea el P...
-
Vulnerabilidades críticas en Fortinet, Ivanti, SAP
-
Cómo recuperar equipos antiguos con Google ChromeO...
-
Las tarjetas gráficas subirán de precio en enero d...
-
2 chinos formados por Cisco lideran sofisticados a...
-
Nueva vulnerabilidad crítica en Google Chrome está...
-
Google se expone a una nueva multa europea "potenc...
-
Cuidado con los anuncios falsos en Google que simu...
-
DroidLock es un ransomware que secuestra tu móvil
-
19 extensiones maliciosas para VS Code disfrazadas...
-
RemoveWindowsAI es un script que deshabilita las f...
-
El Pentágono afirma que su nueva IA militar con Ge...
-
Photoshop y Acrobat llegan a ChatGPT: edita tus fo...
-
Instagram permitirá ajustar el uso de la IA en el ...
-
Google Gemini controlará la seguridad de Chrome
-
Consejos de seguridad para proteger WhatsApp
-
AMD presenta FSR Redstone, tecnología de escalado ...
-
Nvidia rastrea GPUs con software para evitar el co...
-
Google Fotos mejora el editor de vídeos con nuevas...
-
Todas las consolas PS5 van a necesitar mantenimien...
-
Actualizaciones de seguridad de diciembre para Mic...
-
Mistral presenta el nuevo modelo LLM Devstral 2
-
Nvidia Cuda nació gracias a Quake III
-
China muestra su ejército de robots humanoides en ...
-
OpenAI, Anthropic y Google se alían con la Linux F...
-
El proyecto Star Trek o cómo Apple quiso crear un ...
-
El detenido N4t0x, un joven de 19 años “que se abu...
-
Cuidado con las balizas V16, los modelos más vendi...
-
La próxima IA de Meta basada en Llama será más ava...
-
Grupos Chinos explotan vulnerabilidades en Ivanti ...
-
Google anuncia 10 funciones de IA para Chrome impu...
-
Portugal exime de procesamiento a los investigador...
-
Ni la IA es capaz de superar al todoterreno Excel
-
CISA advierte sobre vulnerabilidad en routers D-Li...
-
Autoridades Polacas arrestan a personas con dispos...
-
Samsung activa la beta de One UI 8.5 con mejoras c...
-
El robot Optimus de Tesla sufrió un fallo y se des...
-
¿Cómo funciona el spyware Predator? Utilizó hasta ...
-
Europol detiene a 193 ciberdelincuentes por ofrece...
-
Paramount declara la guerra a Netflix y lanza una ...
-
Open Deep Search, la alternativa abierta de buscador
-
Trump permitirá vender los chips de Nvidia H200 en...
-
Lenovo Legion Pro Rollable: el portátil con pantal...
-
Gemini supera a ChatGPT en tiempo de uso
-
Nuevo kit de phishing "GhostFrame" ataca a millone...
-
Consiguen extraer datos privados de usuarios de Wh...
-
Usuario de cripto pierde 9.000 dólares en segundos...
-
Consejos de seguridad básicos en Android
-
Vulnerabilidades críticas en Firebox de WatchGuard...
-
Después de Tiny11 llega Tiny Core Linux, una distr...
-
Metroid Prime 4: Beyond se puede jugar hasta en 8K...
-
Windows 11 en menos de 3GB superando a Tiny11
-
Extensiones maliciosas de VS Code y Cursor AI.
-
AVKiller desactiva EDR y ataque con ransomware
-
Next.js lanza escáner para vulnerabilidad React2Shell
-
Ataque masivo portales VPN Palo Alto GlobalProtect
-
Particiones reservadas de Windows 11
-
Python supera Java en popularidad
-
Android será más seguro al usar apps financieras
-
Firefox trabaja en una función de copia de segurid...
-
Investigadores hackean Gemini de Google mediante i...
-
Windhawk permite personalizar Windows a fondo medi...
-
GIGABYTE presenta una placa base con detalles de m...
-
Sega salvó a NVIDIA de la quiebra en la era Dreamc...
-
Extensiones populares de Chrome y Edge se vuelven ...
-
Vulnerabilidades en Avast para Windows permiten el...
-
React2Shell: anatomía de una vulnerabilidad histór...
-
El motivo de la caída Cloudflare atribuida a despl...
-
Netflix compra Warner Bros y HBO por 82.700 millon...
-
Binéfar, el pequeño pueblo de Huesca que combate l...
-
Europa investiga a Meta por bloquear chatbots de I...
-
- ► septiembre (Total: 148 )
-
▼
diciembre
(Total:
132
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
En una campaña que se intensifica y que apunta a la infraestructura de acceso remoto, actores de amenazas han iniciado intentos de explotaci... -
Un usuario de criptomonedas pierde 9.000 dólares en segundos después de hacer clic en un anuncio de Instagram que prometía ganancias fáciles...
TaskHound: automatizando la detección de tareas programadas peligrosas en entornos Windows
En seguridad ofensiva y defensiva hay piezas del sistema que, por pura costumbre, terminan olvidadas. Todos hablamos de servicios, privilegios, ACLs, claves de registro o GPOs, pero rara vez alguien levanta la mano y pregunta: “Oye, ¿quién está revisando las tareas programadas?”
Y es curioso, porque si llevas unos años en pentesting o en un Red Team medianamente serio, sabes que las Scheduled Tasks son un filón: persistencia silenciosa, automatización privilegiada, ejecución por SYSTEM, credenciales almacenadas en claro (sí, aún pasa), scripts mal ubicados en rutas modificables por usuarios… todo ello funcionando durante años sin que nadie lo cuestione. Son, en esencia, pequeños cronjobs de Windows con una historia de abuso más larga que la documentación oficial.
Durante mis auditorías siempre me encontré con lo mismo: toca revisar máquina a máquina, recorrer directorios SMB o extraer XML manualmente, y luego ponerse a descifrarlos como si fuera arqueología digital. Una tarea pesada, repetitiva y que, en redes grandes, es directamente inabordable sin automatización seria. Así que cuando apareció TaskHound, una herramienta dedicada exclusivamente a enumerar, parsear, clasificar y correlacionar tareas programadas privilegiadas a escala, fue imposible no prestarle atención. Era el tipo de herramienta que muchos llevábamos años improvisando con scripts sueltos, pero nunca con un enfoque completo y sistemático.
TaskHound funciona con una filosofía muy simple: olerse las tareas potencialmente peligrosas igual que BloodHound huele relaciones peligrosas en Active Directory.
Su nombre no es casual. La herramienta recorre hosts Windows —locales o
remotos— y extrae sus tareas programadas a través de SMB, procesando
directamente los XML que Windows almacena en C:\Windows\System32\Tasks.
No usa agentes, no depende de WMI ni de PowerShell (aunque puede
convivir con ellos), y puede trabajar también en modo offline si ya
tienes los XML recolectados por otros medios. Esto último es
especialmente útil cuando estás operando en modo OPSEC y no quieres
tocar demasiado una máquina comprometida.
Lo potente de TaskHound no es solo que recopile tareas, sino lo que hace con ellas. Cada XML es analizado en profundidad: qué cuenta las ejecuta, si son elevadas, si tienen credenciales almacenadas, qué rutas utilizan, qué acciones disparan, si son world‑writable, si los binarios están en carpetas sospechosas, si la tarea usa triggers curiosos (como eventos específicos del sistema), o si parecen tareas legítimas de Microsoft “tuneadas” por alguien más con malas intenciones. TaskHound toma todos esos datos y los clasifica según riesgo real, no según heurística básica como “esta tarea se ejecuta cada noche”.
Y sí, en 2025 aún es completamente
normal encontrarse tareas con credenciales almacenadas que funcionan
porque hace años que nadie cambia la contraseña de la cuenta de
servicio. O tareas que ejecutan scripts en C:\temp.
O cuentas de backup con privilegios absurdos. O persistencias plantadas
en un pentest anterior que nadie detectó. TaskHound no solo las ve: te las ordena, te las colorea y te las deja listas para atacarlas o corregirlas.
Pero lo más inteligente de TaskHound es su integración con BloodHound. No se queda en una lista de tareas peligrosas, sino que permite exportar todos los hallazgos en un formato que BloodHound entiende perfectamente. Con eso puedes ampliar tu grafo de ataque con una dimensión que normalmente no existe: rutas basadas en tareas programadas. Esto puede revelar cosas muy interesantes, como:
- cuentas de servicio privilegiadas que se usan en decenas de máquinas,
- hosts desde los que un dominio admin podría ejecutar un script viejo y vulnerable,
- tareas donde SYSTEM ejecuta binarios que tú puedes modificar,
- rutas laterales que no salen en los análisis típicos de ACLs.
En una red compleja, esa información puede cambiar completamente tu visión del dominio.
En ejercicios ofensivos, TaskHound encaja como pieza natural del flujo de post‑explotación. Después de comprometer un servidor o una máquina de salto, puedes usarlo para descubrir si hay tareas que te proporcionen persistencia limpia, tareas que te permitan ejecutar como SYSTEM, o cuentas de servicio privilegiadas que podrías robar. Incluso tiene soporte para ejecutarse como BOF desde Cobalt Strike, lo que permite hacer enumeraciones discretas sin necesidad de binaries externos en disco. Si eres operador ofensivo, esto te ahorra tiempo y sobre todo reduce ruido.
En definitiva, TaskHound no solo automatiza una tarea que siempre fue tediosa; redefine cómo deberíamos abordar la seguridad de Scheduled Tasks en Windows. Para un Red Team es una herramienta que abre puertas. Para un Blue Team es una herramienta que las cierra. Y para quienes nos gusta comprender cómo realmente funcionan los entornos Windows más allá de la superficie, es una forma de ver patrones que antes estaban ocultos entre miles de XML.
Si en tu arsenal ya tienes BloodHound, Sharphound, Carp, Spring4Shell scanners, Kerberoasting tools, scripts custom de post-explotación y la clásica colección de PowerShelles oscuros, TaskHound encaja perfectamente en esa filosofía de “mapear lo que otros no ven”.
Fuentes:
https://github.com/1r0BIT/TaskHound
https://www.hackplayers.com/2025/11/taskhound-automatizando-la-deteccion-tareas-programadas.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.