Um dos objetivos, em um teste de invasão, de utilizar técnicas para encobrir seus rastros e ações, é para testar a eficácia e competência do time de resposta a incidentes e perícia forense caso os mesmos existam.

As técnicas para apagar rastros também são conhecidas como “anti-forensic”.

Não há necessidade desse tipo de ação por parte de um pentester, caso queira deixar as evidências de exploração para posteior análise por parte da equipe de Ti da empresa contratante. No entanto, caso tenha como objetivo testar, também, a capacidade da equipe de perícia forense em investigar um caso de invasão, é interessante implementar os passos estudados nesse artigo.

O que encobrir?

Logs de Firewall
Logs que guardam as informações filtradas por regras de firewall. Normalmente os administradores, quando criam as regras de firewall, tem por hábito mandar armazenar em log tentativas de varreduras, ataques de brute force e acesso sem autorização a serviços específicos.

Arquivos copiados no sistema
Qualquer arquivo que tenha sido copiado para o sistema, msmo que posteriormente seja apagado, deixa rastros que podem ser recuperados com ferramentas específicas.

Arquivos sendo executados, como backdoors, por exemplo
Todo programa ou arquivo em execução, é reconhecido pelo sistema como um processo, e como um pode ser recuperado da memória. Existem várias formas de mascarar a execução de binários, como por exemplo um rootkit, que substitui bináios do sistemas por seus próprios, com implementações de códigos maliciosos.

Logs de comandos
Tudo o que é digitado no terminal é armazenado no .bash_history do usuário, por exemplo. Mesmo que seja apagado, esse arquivo também pode ser recuperado pela equipe de perícia forense.

Logs de sessão
Quando efetuamos o login e autenticamos uma sessão válida, tudo o que ocorre na mesma é armazenado em logs. Algumas organizações possuem, inclusive, servidores exclusivos para armazenamento e gerenciamento de logs. No Linux, a maioria dos logs ficam armazenados em /var/log.