Ho sentito parlare di shell inverse persistenti e di come, in teoria, possono rimanere indefinitamente sul sistema del target e in che modo possono connettersi all'host quando la macchina del target si avvia, ma in che modo le shell inverse guadagnano la loro persistenza? Si copiano nella cartella Esecuzione automatica di Windows, c'è uno script esterno che esegue il programma o scrive in un processo?
Non lo fanno.
Una shell inversa è solo una tecnica per connettersi e controllare un computer. Di per sé, una shell inversa non ha assolutamente capacità di persistenza. Per persistere, deve essere il payload del malware che fa offre persistenza. Ad esempio, il software dannoso impostato per essere eseguito come servizio potrebbe installare una shell inversa.
Ci sono molti modi in cui questo può accadere e questi differiscono a seconda del tuo stack. Sfortunatamente ci sono troppe cose da passare qui - MA quello che ti suggerirei se ti interessasse questo tipo di cose (ed è estremamente interessante) è che vai a Mitre ATT & CK sito e controlla la categoria contrassegnata dalla persistenza per esempi pratici.
In breve, cose come attività o applicazioni che si eseguono abbastanza spesso possono avere alcuni difetti che permetteranno di eseguire codice malizioso dando persistenza. Perché su Windows puoi utilizzare gli eventi WMI per mantenere la persistenza ogni volta che l'utente apre chrome se vuoi.
Leggi altre domande sui tag backdoor