Pentest

12 de setembro de 2016

Fase de Preservação do Acesso em um Pentest

Mais artigos de »
Escrito por: Leonardo Souza
Tags:

Fase de preservação do acesso

Logo depois de realizar o ataque e conseguir acesso ao alvo, o invasor normalmente cria mecanismos que permitam seu retorno ao sistema invadido, e isso sem precisar repetir o ataque utilizado. Esta é a fase de preservação do acesso, momento fundamental do pentest, pois evita perda de tempo e recursos, além de evitar que se faça uso de um ataque que pode ser identificado em uma segunda tentativa.

A fase de preservação de acesso, é fundamental, pois ainda que o administrador do sistema crie mecanismos que solucionem a vulnerabilidade explorada, e que permitiu a invasão, o invasor já terá portas abertas para o sistema, sem depender da existência da vulnerabilidade anteriormente explorada.




Neste sentido, as ferramentas utilizadas na fase de preservação do acesso, funcionam como uma chave que permite a abertura das portas e garantem um retorno bem sucedido para o invasor. Dessa forma, sempre que ele desejar, terá acesso permitido e sem precisar executar todo o processo de invasão utilizado anteriormente.

Principais Técnicas

Várias são as técnicas e ferramentas utilizadas na fase de preservação do acesso,  algumas funcionam de forma ativa e outras de forma passiva. Nas técnicas de conexão ativa o alvo se conecta no computador atacante, enquanto nas conexões passivas o alvo fica com portas abertas e o atacante é quem se conecta a ele.

Existem dezenas de técnicas e ferramentas que permitem o retorno a um sistema já invadido, entre as mais utilizadas estão os backdoors, rootkits e os cavalos de tróia.

Backdoors (porta dos fundos): é um programa que fica escutando determinada porta, aguardando por conexões, permitindo assim, que o invasor consiga acesso a uma máquina. Como está aguardando a conexão, se o backdoor estiver ativo, o invasor conseguirá acessar o computador quando quiser.

Rootkit: softwares que possuem como finalidade esconder determinados processos e/ou softwares de métodos normais de detecção, permitindo assim, que estes softwares executem tarefas sem ser percebidos. Eles conseguem interceptar os dados requisitados e filtram a informação fazendo com o sistema leia apenas arquivos não infectados. Na prática é como se os softwares escondidos por eles, ficassem invisíveis par ao sistema, inclusive os antivírus.

Cavalos de Tróia: são programas anexados a outros programas e que permanecem em execução enquanto o programa principal está sendo executado e possuem como finalidade permitir o acesso ao invasor. Dessa forma, quando o programa principal é executado, ele permanece em execução em background, ou seja, segundo plano, sem ser notado pelo usuário. Na maioria das vezes, este tipo de programa é disponibilizado junto com jogos ou programas para o entretenimento.

A grande maioria das ferramentas que podem ser utilizadas nesta fase, executa uma ou várias das funções presentes nas ferramentas citadas, cabendo ao auditor escolher a que melhor se adapta a situação em questão.

Próximos Passos

Depois de realizar a invasão e garantir seu retorno, o invasor precisa ir para a próxima fase, que é a ocultação das suas pegadas, afinal ele precisa garantir que não será descoberto. A próxima fase inclui técnicas específicas que irão garantir que a equipe de TI não perceba que houve uma invasão, ou tentativa dela, assim como identificar quem e onde está o invasor.

Veremos mais detalhes sobre esta fase nos próximos artigos.






Sobre o Autor

Leonardo Souza
Bacharel em Informática, pós graduado em Segurança de Redes de Computadores e analista de Segurança da Informação. Entusiasta de Segurança da Informação e usuário FreeBSD, porém sem xiismo.




0 Comments


Seja o Primeiro a Comentar!


You must be logged in to post a comment.