# AN0259 — Analytic 0259 ## Descrição Esta analítica detecta a criação ou modificação de tarefas cron via `crontab`, diretórios `/etc/cron.*`, ou unidades de timer do systemd com execução por usuários incomuns ou em intervalos não padrão. A telemetria inclui eventos de modificação de arquivo em diretórios cron (auditd) e logs de criação de processos correlacionados com o usuário executor. Esta detecção é fundamental pois cron jobs são o método de persistência mais simples e amplamente utilizado em servidores Linux comprometidos, inclusive por webshells e mineradores de criptomoeda. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1053-003-cron|T1053.003 — Cron]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0259](https://attack.mitre.org/detectionstrategies/DET0094#AN0259)*