¿Qué es la postexplotación?

¿Sabes qué es la postexplotación y qué tareas se ejecutan durante esta fase de un pentest?

Un test de penetración consiste en ciberatacar, de forma autorizada y controlada, un sistema informático, con el fin de descubrir cuáles son sus puntos más débiles y sus niveles de riesgo. El pentesting o hacking ético es una de las tareas más importantes en ciberseguridad, ya que se trata de pensar como un hacker malicioso con el objetivo de implementar y desarrollar sistemas de defensa.

En este post, nos centraremos en explicar qué es la postexplotación, una de sus etapas.

Etapas de un pentest

Al igual que un ciberataque, un test de intrusión cuenta con distintas etapas. Cada una de ellas cuenta con diferentes técnicas y herramientas para su ejecución. Las fases de un pentest o test de penetración son, en orden:

1. Recolección de información pasiva: reunir la mayor cantidad de datos acerca del sistema objetivo sin provocar una interacción directa con este. Para ello, se utilizan herramientas de inteligencia en fuentes abiertas (OSINT) o plugins como Wappalyzer.
2. Enumeración activa: escaneo de la red del sistema objetivo para listar todos los dispositivos visibles que se encuentren conectados. De este modo, se obtiene información sobre el tipo de dispositivo, su sistema operativo, qué puertos tiene abiertos, qué softwares y servicios utiliza, etc.
3. Análisis de vulnerabilidades: búsqueda automatizada y manual de fallos de seguridad que puedan utilizarse para infiltrarse en el sistema objetivo.
4. Explotación de vulnerabilidades: uso de softwares, llamados exploits, para utilizar las vulnerabilidades como puertas de acceso al sistema objetivo.
5. Postexplotación: al ejecutar un exploit, el ciberatacante vulnera el sistema, pero no comete ninguna acción que lo afecte aún. La postexplotación consiste en aquellas tareas que ejecuta el hacker dentro del ordenador comprometido.
6. Borrado de huellas: el atacante borra los logs de las actividades que comete en el sistema.
7. Elaboración del reporte: se redacta un informe confidencial que incluye cuáles fueron los métodos utilizados, las conclusiones halladas y más datos relacionados al ejercicio del pentest.

¿Qué es la postexplotación?

Si una vulnerabilidad permite ingresar al sistema de un usuario sin su autorización, quiere decir que el atacante puede ejercer algún tipo de acción desde allí.

Al definir qué es la postexplotación, se puede afirmar que es la etapa de un pentest en la que se ejecutan todas estas tareas perjudiciales para la máquina comprometida. Dentro de las acciones maliciosas que puede cometer un hacker, tras infiltrarse en un sistema, se suelen encontrar:

• Escalada de privilegios: uso de códigos para acceder a permisos de usuario con privilegios de administrador (en Windows) y root (en GNU/Linux).
• Movimiento lateral: acceso a otras máquinas conectadas a la red.
• Despliegue de malware: subir o descargar programas maliciosos, principalmente spywares y ransomwares, en la máquina comprometida.
• Exfiltración de datos: robo de información confidencial de la máquina vulnerada.
• Conexión a una botnet: se puede generar una conexión entre la máquina comprometida y un servidor malicioso con el fin de enviarle instrucciones como:
  • Generar ataques de denegación de servicios.
  • Minería de criptomonedas en segundo plano.
• Ejecución remota de código: ejecución de comandos a distancia en la máquina vulnerada.

En los ciberataques más avanzados, se combinan todas estas actividades. Todo esto se realiza, por medio de un tipo de softwares conocidos como payloads. Para entender qué es la postexplotación, es necesario conocer este tipo de programas.

Payload

Ya hemos visto qué es la postexplotación y qué tareas se ejecutan en esta etapa. Ahora, veremos el tipo de software por medio del cual se ejecutan. Estos programas se conocen como payloads y son los códigos que se ejecutan adentro del sistema, una vez el exploit le permite al atacante ingresar a este. Se suele hacer la analogía de que, si el exploit fuese un proyectil, el payload sería la pólvora que llevaría adentro.

Tipos de payload

Los tipos de payload se dividen en dos grandes categorías:

• Según el sentido de conexión entre el ordenador de la víctima y el del atacante:
  • Bind (conexión directa): la máquina virtual del atacante se conecta a la máquina real del sistema objetivo.
  • Reverse (conexión inversa): la máquina del objetivo se conecta a la máquina o el servidor creado por el atacante.
• Según su función:
  • Shellcode: es un tipo de código que se inyecta en la memoria de la máquina del objetivo, por medio de softwares con vulnerabilidades.
  • Ejecución de comandos: si, debido al tamaño del payload, solo pudieras ejecutar un comando, ¿cuál ejecutarías? El de crear un usuario con privilegios suele utilizarse como método para abrir puertas traseras en sistemas operativos.
  • Meterpreter: es un tipo de payload de gran tamaño que opera a bajo nivel en el ordenador de la víctima y es altamente difícil de detectar. Permite subir y descargar cualquier archivo en la máquina, ejecutar cualquier comando y muchas funciones más.

¿Cómo aprender más?

Ahora que sabes qué es la postexplotación, es hora de poner en práctica tus conocimientos. En KeepCoding, tenemos la formación perfecta para que aprendas a hacerlo con la guía de los mejores expertos. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un verdadero especialista en solo 7 meses. ¡Inscríbete ya!