det0290-cross-platform-detection-of-cron-job-abuse-for-persistence-and-execution

# DET0290 — Cross-Platform Detection of Cron Job Abuse for Persistence and Execution ## Descrição Esta estratégia detecta o abuso de tarefas agendadas via cron em sistemas Linux, macOS e contêineres para estabelecer persistência e garantir execução periódica de payloads maliciosos. O cron é um mecanismo de agendamento onipresente em sistemas Unix que adversários exploram por sua execução silenciosa, sobrevivência a reinicializações e capacidade de executar como qualquer usuário, incluindo root. Os alvos de monitoramento incluem modificações em `/etc/cron.d/`, `/etc/cron.daily/`, `/var/spool/cron/crontabs/`, `/etc/crontab` e uso do comando `crontab -e`. Em macOS, LaunchAgents e LaunchDaemons complementam o cron como mecanismos de agendamento. Indicadores críticos incluem cron jobs criados por usuários não-root modificando `crontabs` de outros usuários, e jobs que executam scripts de paths temporários ou incomuns. Em ambientes de contêineres e cloud, a adição de cron jobs em imagens base comprometidas ou em pods Kubernetes (via CronJob resources) representa um vetor de persistência que esta estratégia também cobre. Grupos de cryptomining e backdoors Linux como [[XMRig]] frequentemente utilizam cron para garantir reinicialização do minerador após eliminação manual. ## Indicadores de Detecção - Modificação de `/etc/cron.d/` ou `/var/spool/cron/crontabs/` por processo não-root ou não pertencente ao sistema de gerenciamento de pacotes - Cron job criado que executa script em `/tmp/`, `/dev/shm/`, ou path de usuário não-root - `crontab -e` ou escrita direta em arquivo de crontab por processo filho de shell interativo suspeito - Cron job com frequência de execução muito alta (a cada minuto) sem justificativa operacional - Script executado por cron fazendo conexão de rede de saída para IP externo - Novo LaunchAgent ou LaunchDaemon em macOS com `StartInterval` curto e binário não assinado ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an0805-analytic-0805|AN0805 — Analytic 0805]] - [[an0806-analytic-0806|AN0806 — Analytic 0806]] - [[an0807-analytic-0807|AN0807 — Analytic 0807]] --- *Fonte: [MITRE ATT&CK — DET0290](https://attack.mitre.org/detectionstrategies/DET0290)*