T1053.003: Утилита cron
Злоумышленники могут использовать утилиту cron
для планирования первоначального или повторяющегося выполнения вредоносного кода. Утилита cron
— это планировщик выполнения задач в заданное время для Unix-подобных операционных систем. Файл crontab
содержит список записей для cron, где указаны команды, которые должны быть запущены, и время их запуска. Все файлы crontab
расположены в каталогах, определяемых операционной системой.
Злоумышленники могут использовать cron
в Linux- или Unix-среде для выполнения программ при загрузке системы или по расписанию с целью закрепления в системе.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-1672: Unix_New_Cron_Job: Cоздание или изменение задачи в планировщике задач Cron
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов. Аналитика 1. Измененные файлы в каталогах утилиты cron в Linux
|
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Создайте перечень стандартных заданий cron и процессов, которые они могут запускать в вашей среде. Обнаружить аномальные процессы, запущенные через cron, можно путем сопоставления новых процессов с перечнем стандартных заданий. Аналитика 1. Создание нетипичных заданий cron
Аналитика 2. Нетипичная периодичность выполнения заданий
|
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Создание запланированного задания | Описание | Отслеживайте создание запланированных заданий. Легитимные запланированные задания могут создаваться при установке нового программного обеспечения или при выполнении действий по администрированию системы. Отслеживайте изменения в заданиях, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команды atq и проверяйте, являются ли IP-адреса, хранящиеся в переменных SSH_CONNECTION и SSH_CLIENT, а также машины, создавшие задачи, доверенными узлами. Все задачи at хранятся в каталоге /var/spool/cron/atjobs/. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Проверяйте изменения в расписании |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Разрешениями |
---|