Quando e perché un test di penetrazione non richiede solo l'accesso, ma il download di un file dalla rete di un cliente?

1

Ho letto che l'accesso a una directory o un file remoto è una prova sufficiente per la maggior parte dei pentest. Quando e perché un POC / pentest richiede di scaricare file da un sistema, non semplicemente di accedervi da remoto?

La curiosità su questo era motivata da un'altra domanda che ho posto, ( Metodi per copiare file da un sistema Linux remoto per ordine di rilevabilità (assumendo shell remota con root privleges) ), in cui molte risposte implicavano che preoccuparsi di come scaricare in modo nascosto i file da un sistema remoto era strano o poco ortodosso. Da un punto di vista intuitivo, mi sembra che le copie locali di alcuni file remoti potrebbero essere utili o necessari input per l'analisi che potrebbero essere utilizzati per accedere ad altre parti della rete di destinazione.

    
posta Info5ek 19.09.2016 - 18:16
fonte

4 risposte

3

Questo dipende dalle regole di ingaggio. Un test di penetrazione sollecitato viene eseguito all'interno di un insieme molto rigido di linee guida (regole di ingaggio) in modo che non causi più danni che benefici. Questo pone dei limiti a ciò che può essere fatto; esfiltrare i file è piuttosto rischioso dal momento che potrebbero contenere informazioni sensibili o regolamentate, il che è utile sapere durante un pentest, ma è un peccato iniziare effettivamente a trascinare su Internet. Quindi, segui sempre le regole di ingaggio e se non sono chiari a questo aspetto, falli chiarire prima di iniziare.

Per essere specifici alla tua domanda, se le linee guida di Pentest affermano che è consentibile l'esfiltrazione, E affermi che l'obiettivo della conferma positiva è ottenere una copia del file, quindi è quello che fai.

    
risposta data 19.09.2016 - 18:27
fonte
1

A volte viene eseguito un pentest per esercitare il personale IT responsabile per monitorare e mantenere i sistemi (team blu). Se il pentito (squadra rossa) ha avuto accesso alle risorse che stava cercando senza essere notato dalla squadra blu, e se le regole di ingaggio consentono (come affermato in altre risposte), può provare a esfiltrare i dati per testare ulteriormente e addestrare la squadra blu.

Non è necessario che i dati reali vengano esfiltrati, ma possono essere dati campione rappresentativi. Una volta che il pentitore ha espulso con successo i dati, può tornare indietro e fare più rumore possibile finché la squadra blu non lo rileva o lo ferma.

Tutto ciò presuppone che uno degli obiettivi del pentest sia di essere in un ruolo contraddittorio con la squadra blu. Questo è spesso fatto per testare la risposta agli incidenti, l'efficacia degli strumenti e delle procedure. L'obiettivo finale è quello di essere preparati meglio quando colpisce un vero aggressore.

    
risposta data 19.09.2016 - 21:37
fonte
1

A volte il coinvolgimento richiede di simulare un attacco reale e raggiungere determinate parti della rete, come un database, in quei casi il download dei file per scoprire gli utenti della rete attraverso i metadati potrebbe essere possibile (solo un esempio). Ma dipende dall'impegno e dovrebbe essere chiarito con il cliente, mai scaricare i file senza acquiescence

    
risposta data 19.09.2016 - 21:56
fonte
1

Quando il tuo lavoro in un pentest è quello di penetrare il più profondamente possibile, puoi scaricare i file in 1. compromettere una macchina windows / dominio scaricando i backup dell'hive SAM nella directory c: \ windows \ repair, nel caso esista 2. scaricare i file di configurazione php con le password del database 3. scarica varie altre cose con password / informazioni riservate che faciliteranno i movimenti laterali o in generale raccolgono informazioni per qualsiasi obiettivo successivo alla tua infiltrazione.

    
risposta data 20.09.2016 - 20:11
fonte

Leggi altre domande sui tag