Execução: modificação suspeita do cron

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Um ficheiro de configuração do cron foi modificado. As modificações a tarefas cron são uma tática comum usada por atacantes para estabelecer acesso persistente aos sistemas. Os atacantes podem usar alterações não autorizadas a tarefas para executar comandos maliciosos em intervalos específicos, o que lhes permite manter o acesso e o controlo sobre o sistema.cron Essas modificações podem passar despercebidas e permitir que os atacantes realizem atividades furtivas durante um período prolongado.

Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE.

Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte o artigo Testar a deteção de ameaças de contentores.

A Deteção de ameaças de contentores é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Reveja os detalhes da descoberta

  1. Abra a descoberta Execution: Suspicious Cron Modification conforme indicado em Rever descobertas. Reveja os detalhes nos separadores Resumo e JSON.

  2. Identifique outras conclusões que ocorreram numa altura semelhante para este recurso. As conclusões relacionadas podem indicar que esta atividade foi maliciosa, em vez de uma falha ao seguir as práticas recomendadas.

  3. Reveja as definições do recurso afetado.

  4. Verifique os registos do recurso afetado.

Investigue métodos de ataque e resposta

Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Execução.

O que se segue?