# AN0805 — Analytic 0805 ## Descrição Esta analítica detecta a criação ou modificação de entradas no crontab por usuários não-root ou a partir de processos pai anômalos, seguida da execução de binários incomuns em intervalos agendados. A telemetria utilizada inclui logs do auditd monitorando chamadas de sistema relacionadas à escrita nos diretórios `/var/spool/cron/` e execução subsequente de processos. Esta detecção é crítica pois crontabs maliciosas são um mecanismo de persistência amplamente usado por adversários para garantir execução recorrente de malware mesmo após reinicializações do sistema. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1053-003-cron|T1053.003 — Cron]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0805](https://attack.mitre.org/detectionstrategies/DET0290#AN0805)*