Descripción de la Tecnica
T1053.003 es una técnica de la MITRE ATT&CK que describe cómo los adversarios pueden abusar del utilitaro cron para programar la ejecución inicial o recurrente de código malicioso. El cron es un scheduler de tareas basado en tiempo en sistemas Unix-like, y permite a los atacantes planificar la ejecución de scripts o comandos en tiempos específicos.
Esta técnica está documentada como parte de las "Common Tools and Techniques" para macOS, lo que indica su relevancia en entornos operativos basados en Apple. Los adversarios pueden utilizar cron para mantener un acceso persistente o realizar ataques a largo plazo.
Como Funciona
El cron funciona mediante archivos de configuración llamados crontab, que definen las reglas de ejecución. Estos archivos se almacenan en rutas de archivo específicas del sistema operativo. Los adversarios pueden crear entradas en estos archivos para ejecutar scripts maliciosos en momentos predefinidos.
Un atacante puede:
1 Editar el crontab de un usuario con privilegios,
2 Incluir una ruta a un script malicioso en la lista de tareas programadas,
3 Configurar la ejecución periódica o un evento único.
Este método permite a los atacantes mantener una presencia persistente sin ser detectados durante períodos prolongados.
Actores que la Utilizan
La técnica no especifica actores concretos, pero se menciona que "adversaries may use" (los adversarios pueden utilizarla). Esto sugiere que se aplica a una amplia gama de amenazas, incluyendo grupos cibernéticos o ataques APT (Advanced Persistent Threats).
En contextos reales, este método es común en ataques de tipo ransomware, espionaje o compromiso de sistemas críticos, donde la persistencia es un objetivo clave.
Detección
La detección implica monitorear los archivos crontab para identificar entradas no autorizadas. Se deben revisar:
- Cambios en las configuraciones de cron sin permiso,
- Ejecuciones de scripts en horarios inusuales o frecuencias anormales,
- Uso de rutas de archivos sospechosas en el crontab.
Un análisis de logs de sistema también puede revelar actividades de tareas programadas no registradas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo:
1 Limitar el acceso al editor de crontab a usuarios con permisos necesarios,
2 Realizar auditorías periódicas de los archivos crontab,
3 Configurar monitoreo basado en anomalías en las tareas programadas,
4 Utilizar herramientas de seguridad para detectar cambios no autorizados en archivos críticos del sistema.