Ejecución: modificación sospechosa de cron

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se ha modificado un archivo de configuración cron. Las modificaciones de las tareas de cron son una táctica habitual que usan los atacantes para establecer un acceso persistente a los sistemas. Los atacantes pueden usar cambios no autorizados en los trabajos de cron para ejecutar comandos maliciosos a intervalos específicos, lo que les permite mantener el acceso y el control sobre el sistema. Estas modificaciones pueden pasar desapercibidas y permitir que los atacantes lleven a cabo actividades sigilosas durante un periodo prolongado.

Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE.

Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection.

Container Threat Detection es la fuente de este resultado.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Consultar los detalles de los resultados

  1. Abra el Execution: Suspicious Cron Modification tal como se indica en el artículo Revisar los resultados. Revisa los detalles en las pestañas Resumen y JSON.

  2. Identifica otros resultados que se hayan producido en un momento similar para este recurso. Los resultados relacionados pueden indicar que esta actividad era maliciosa, en lugar de que no se hayan seguido las prácticas recomendadas.

  3. Revisa la configuración del recurso afectado.

  4. Consulta los registros del recurso afectado.

Investigar métodos de ataque y respuesta

Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Ejecución.

Siguientes pasos