MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1053.003: Утилита cron

Злоумышленники могут использовать утилиту cron для планирования первоначального или повторяющегося выполнения вредоносного кода. Утилита cron — это планировщик выполнения задач в заданное время для Unix-подобных операционных систем. Файл crontab содержит список записей для cron, где указаны команды, которые должны быть запущены, и время их запуска. Все файлы crontab расположены в каталогах, определяемых операционной системой.

Злоумышленники могут использовать cron в Linux- или Unix-среде для выполнения программ при загрузке системы или по расписанию с целью закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-1672: Unix_New_Cron_Job: Cоздание или изменение задачи в планировщике задач Cron

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов.

Аналитика 1. Измененные файлы в каталогах утилиты cron в Linux

source="Linux:" (Path LIKE "/etc/cron.allow.d" OR Path LIKE "/etc/cron.d/" OR Path LIKE "/etc/cron.hourly" OR Path LIKE "/etc/cron.daily" OR Path LIKE "/etc/cron.weeky" OR Path LIKE "/etc/cron.monthly")

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Создайте перечень стандартных заданий cron и процессов, которые они могут запускать в вашей среде. Обнаружить аномальные процессы, запущенные через cron, можно путем сопоставления новых процессов с перечнем стандартных заданий.

Аналитика 1. Создание нетипичных заданий cron

source="Linux:" Image= “crontab” OR Image= “cron” AND CommandLine LIKE “crontab -e” OR CommandLine LIKE “cron

Аналитика 2. Нетипичная периодичность выполнения заданий

source="Linux:" Image= “crond” OR Image= “cron” AND ImageCount >= “100”

IDDS0003Источник и компонент данныхЗапланированное задание: Создание запланированного заданияОписание

Отслеживайте создание запланированных заданий. Легитимные запланированные задания могут создаваться при установке нового программного обеспечения или при выполнении действий по администрированию системы. Отслеживайте изменения в заданиях, не связанные с известным ПО, циклами выпуска исправлений и другой легитимной активностью.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команды atq и проверяйте, являются ли IP-адреса, хранящиеся в переменных SSH_CONNECTION и SSH_CLIENT, а также машины, создавшие задачи, доверенными узлами. Все задачи at хранятся в каталоге /var/spool/cron/atjobs/.

Меры противодействия

IDM1047НазваниеАудитОписание

Проверяйте изменения в расписании cron. Результаты выполнения cron можно просмотреть в каталоге /var/log. Расположение файла журнала cron должно быть указано в конфигурации syslog (/etc/rsyslog.conf или /etc/syslog.conf).

IDM1018НазваниеУправление учетными записямиОписание

Разрешениями cron можно управлять с помощью файлов /etc/cron.allow и /etc/cron.deny. При наличии файла cron.allow в нем необходимо перечислить пользователей, которым разрешено запускать cron. С помощью cron.deny можно запрещать пользователям обращаться к cron. Если не существует ни одного из этих файлов, то запускать cron может только суперпользователь.