det0231-behavioral-detection-of-systemd-timer-abuse-for-scheduled-execution

# DET0231 — Behavioral Detection of Systemd Timer Abuse for Scheduled Execution ## Descrição Esta estratégia detecta o abuso de systemd timers em sistemas Linux como mecanismo de persistência e execução agendada de payloads maliciosos. Timers systemd são equivalentes Linux ao cron, mas mais flexíveis e menos monitorados. Adversários criam arquivos `.timer` e `.service` em `/etc/systemd/system/` ou `~/.config/systemd/user/` para garantir execução periódica de backdoors. A detecção foca na criação de novos arquivos de timer/service fora do processo normal de gestão de configuração (ex: Ansible, Chef), execução de comandos incomuns a partir de units systemd (shells, downloaders, reverse shells), e timers configurados com intervalos muito curtos (< 60 segundos) típicos de beaconing. A telemetria necessária inclui auditd com regras para monitorar escrita em `/etc/systemd/` e `~/.config/systemd/`, logs do journal systemd para novos units ativados, e monitoramento de processos filhos de `systemd` com perfis comportamentais anômalos. ## Indicadores de Detecção - Arquivo `.timer` criado em `/etc/systemd/system/` por processo não pertencente a CM tools - Unit systemd invocando `curl`, `wget`, `bash -c`, `python` ou `nc` como `ExecStart` - Timer com `OnBootSec` ou `OnUnitActiveSec` inferior a 60 segundos (padrão de beaconing) - Novo `.service` com `User=root` registrado fora de janela de manutenção - `systemctl enable` executado por usuário sem privilégios sudo legítimos - Processo filho de `systemd` realizando conexão de rede de saída para IP externo ## Técnicas Relacionadas - [[T1053.006-systemd-timers|T1053.006 — Systemd Timers]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[T1543.002-systemd-service|T1543.002 — Systemd Service]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] ## Analytics Relacionadas - [[an0645-analytic-0645|AN0645 — Analytic 0645]] --- *Fonte: [MITRE ATT&CK — DET0231](https://attack.mitre.org/detectionstrategies/DET0231)*