È abbastanza difficile capire dai dettagli che hai fornito. In genere, se avessimo saputo che tipo di software hanno usato per il loro pentimento, potremmo trarre un'ipotesi più istruita.
Ho visto molti report importanti di diverse aziende che erano troppo concentrati sui risultati tecnici, ma molto poco, quasi a nulla, sulle loro metodologie. Avere le loro metodologie chiaramente definite e definite è di vitale importanza sia per la società pentest che per il cliente: è il modo in cui la società copre il proprio sedere per situazioni in cui si verificano potenziali danni collaterali e la garanzia del cliente che se l'azienda schiererà e , per esempio, abbassa il sito della società a causa di un DoS che non era nel campo di applicazione, può essere ritenuto responsabile per questo.
Poiché i a) pentesters sono (o dovrebbero) perfettamente in grado di scrivere i propri strumenti, e b) perché il danno è già stato fatto (avere un file esterno su il tuo server non è mai buono, che sia una vera backdoor o un file fittizio) la tua domanda,
[...] will some of the various software available inject an actual
file that creates a backdoor shell, or are the files that are injected
"dummies"?
... a questo punto diventa irrilevante: qui ci sono problemi più grandi come 1) che determinano se lo strumento è stato caricato dai tester; e 2) la maturazione del processo di pentesting nel suo complesso. A seconda dei risultati di 1) , altre indagini potrebbero richiedere un'ulteriore attenzione: e se affermassero che il guscio non era il loro strumento?
Quindi il punto chiave qui è comunicazione . Se sei l'analista che ha facilitato il pentest o il proprietario del servizio, nulla ti impedirà di ottenere una relazione completa dai tester sulla loro metodologia. Sentiti libero di richiedere un incontro per passare attraverso la loro metodologia, in quanto ciò ti aiuterà ad accertare se il guscio 'dimenticato' fosse un prodotto della loro negligenza, oppure no - ricorda, assumiti sempre il peggio e in questa fase non c'è nulla che garantisca che il guscio non era il risultato di una vera violazione, prima o dopo il pentimento.
Per i pentests futuri, per evitare questa situazione, assicurati che:
- hai un chiaro processo interno che si occupa di diverse situazioni che possono sorgere da un pentest fallito
- leggi la loro Proposta / Dichiarazione di lavoro e non accettare tutto ciò che gettano lì; richiedere una descrizione metodica delle loro metodologie. Hanno clausole che si riferiscono in modo molto chiaro a chi è responsabile per cosa
- Conosci le tue risorse
TL; DR - Riepilogo
Non è possibile per me rispondere se gli strumenti di sicurezza utilizzati nei tuoi pentagrammi backdoor o file fittizi sono stati iniettati, perché il livello di dettaglio che hai fornito non è sufficiente. Tuttavia, anche se fosse possibile, al momento attuale, questa è la domanda meno pertinente e la raccomandazione è quella di confrontarsi con i pentesters per un approfondito chiarimento.