Eseguo regolarmente pen-test contro applicazioni web, sistemi operativi, ecc. Occasionalmente, sono abbastanza fortunato da fare un esercizio di "red-teaming" e arrivare ad attaccare in tutti i punti immaginabili di una rete (persone ecc. ) che è divertente e di solito va abbastanza bene.
Tuttavia, un cliente ha recentemente menzionato che sarebbe interessato a testare macchine lato client (utente finale) come desktop / laptop, al fine di vedere quale tipo di attacchi potrebbero essere condotti contro di loro, come mezzi per testare la sicurezza degli endpoint (firewall / HIPS / AV / whitelist delle app), e anche per mettere il loro programma di risposta agli incidenti sotto stress.
Stanno studiando l'uso di malware personalizzati per fare ciò e sono disposti a farci provare a propagare il nostro codice nel loro ambiente.
Poiché la maggior parte degli attacchi di successo in questi giorni coinvolgono attacchi lato client (spear phishing, download drive-by, ecc.), ha senso testare gli endpoint reali (che di solito sono un grosso problema). Tuttavia, sono preoccupato che se creiamo un malware auto-diffuso alla fine si allenterà dalla rete, o che in una delle infinite interazioni possibili dell'applicazione, questo danneggerà alcuni server offline. Ovviamente il cliente firmerà una rinuncia e le spalle rischiano in questo modo.
Gli scenari di attacco lato client sono richieste comuni? Cosa fanno gli altri in questi tipi di scenari? Esistono metodologie da seguire per quanto riguarda l'uso di malware personalizzato nei pentests lato client?