Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Scheduled Task/Job: At (Linux)

Other sub-techniques of Scheduled Task/Job (7)

ID	Name
.001	At (Linux)
.002	At
.003	Cron
.004	Launchd
.005	Scheduled Task
.006	Systemd Timers
.007	Container Orchestration Job

Adversaries may abuse the at utility to perform task scheduling for initial, recurring, or future execution of malicious code. The at command within Linux operating systems enables administrators to schedule tasks.(Citation: Kifarunix - Task Scheduling in Linux) An adversary may use at in Linux environments to execute programs at system startup or on a scheduled basis for persistence. at can also be abused to conduct remote Execution as part of Lateral Movement and or to run a process under the context of a specified account. Adversaries may also abuse at to break out of restricted environments by using a task to spawn an interactive system shell or to run system commands. Similarly, at may also be used for Privilege Escalation if the binary is allowed to run as superuser via sudo.(Citation: GTFObins at)

ID: T1053.001

Sub-technique of: T1053

Tactic(s): Execution, Persistence, Privilege Escalation

Platforms: Linux

Version: 1.1

Created: 03 Dec 2019

Last Modified: 16 Apr 2022

Mitigation	Description
Mitigations
User Account Management	Manage the creation, modification, use, and permissions associated to user accounts.
Audit	Perform audits or scans of systems, permissions, insecure software, insecure configurations, etc. to identify potential weaknesses.

Detection

Monitor scheduled task creation using command-line invocation. Legitimate scheduled tasks may be created during installation of new software or through system administration functions. Look for changes to tasks that do not correlate with known software, patch cycles, etc. Review all jobs using the atq command and ensure IP addresses stored in the SSH_CONNECTION and SSH_CLIENT variables, machines that created the jobs, are trusted hosts. All at jobs are stored in /var/spool/cron/atjobs/.(Citation: rowland linux at 2019) Suspicious program execution through scheduled tasks may show up as outlier processes that have not been seen before when compared against historical data. Data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as network connections made for Command and Control, learning details about the environment through Discovery, and Lateral Movement.

References

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за создания или изменение задачи утилитой AT в ОС Linux Повышение привилегий НСД	1
Повышение привилегий в ОС из-за создания или изменение задачи утилитой AT в ОС Linux Повышение привилегий Целостность	1
Заражение вредоносным программным обеспечением из-за создания или изменение задачи утилитой AT в ОС Linux Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение	1
Повышение привилегий в ОС из-за создания или изменение задачи утилитой AT в ОС Windows Повышение привилегий Целостность
Заражение вредоносным программным обеспечением из-за создания или изменение задачи утилитой AT в ОС Windows Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение	1
Закрепление злоумышленника в ОС из-за создания или изменение задачи утилитой AT в ОС Windows Повышение привилегий НСД

Каталоги

Техники ATT&CK:

T1053.002 Scheduled Task/Job: At

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.