Rutas en donde se puede encontrar persistencia

| Última modificación: 10 de julio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es la persistencia y cuáles son las rutas a las que puedes acceder para encontrar persistencia en el ámbito de la seguridad informática? La persistencia se refiere a la capacidad de conservar datos y configuraciones a través de reinicios del sistema.

encontrar persistencia

Existen rutas predeterminadas en las que podemos encontrar persistencia muy alta. Veamos cuáles son esas rutas.

Encontrar persistencia en los ficheros

Rutas donde se puede encontrar persistencia

Algunas de las rutas más importantes en Linux en donde podemos encontrar persistencia son:

  • /etc /cron */
  • /etc /incron.d /*
  • /etc /init.d /*
  • /etc /rc*.d /*
  • etc /systemd /system /*
  • etc /update.d /*
  • /etc /passwd
  • /etc /sudoers
  • /home /<user> /.ssh /authorized_keys
  • /home /<user> /.bashrc
  • /var /spool /cron /*
  • /var /spool /incron /*
  • /var /run /motd.d /*

¿Qué sucede con la persistencia en la informática forense?

La persistencia es de gran relevancia, porque le permite a los usuarios guardar datos importantes y personalizaciones de configuración de manera permanente, en lugar de tener que volver a realizarlas cada vez que se inicie el sistema.

No obstante, la persistencia también es la manera en la que el atacante hace que sus virus perduren más en nuestro sistema. Por tanto, es relevante saber en qué rutas se genera y se puede encontrar más persistencia, para prestar especial atención y poder prevenir ataques a estas carpetas o directorios.

Lo que busca la persona que ingresa en el sistema es generar presencia, por ejemplo, cuando nos meten un software de minería o cuando consiguen acceso remoto y nos instalan un payload o cualquier tipo de archivo malicioso.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Y no solo existe el riesgo que implica el virus en sí en nuestro sistema, sino que el atacante puede hacer lo que quiera con él y el durante tiempo que quiera si no somos cuidadosos, como definir cada cuánto quiere que se ejecute, si cada semana o cada vez que se inicie el equipo, por ejemplo. Hay un sinfín de posibilidades.

¿Cómo logran los atacantes generar persistencia con los archivos maliciosos?

¿Normalmente qué hacen los atacantes? Lo que suelen hacer es meter dentro del cron un script que se comunica con el comand control para decirle que mande una señal de que el usuario está «vivo» o, más bien, activo. Con esto ya se sabe que el usuario que ingresa en el sistema tiene conexión y que sabe que está actuando o que está mirando.

Existen varios modos en los que los atacantes, gracias a que han podido encontrar persistencia en muchos archivos, pueden acceder a nuestro sistema. Veamos:

  • Registro de inicio: los atacantes pueden agregar una entrada en el registro de inicio del sistema, lo que les permite ejecutar su malware cada vez que se inicia el sistema operativo.
  • Archivos de configuración: algunos programas tienen archivos de configuración que permiten a los usuarios personalizar el comportamiento del programa. Los atacantes pueden modificar estos archivos para que su malware se ejecute cada vez que se inicie el programa.
  • Secuestro de servicios: los atacantes pueden secuestrar servicios del sistema para que su malware se ejecute como parte del servicio. Esto les permite mantener el acceso incluso si se toman medidas para eliminar el malware.
  • Tareas programadas: los atacantes pueden crear tareas programadas que ejecuten su malware en un momento específico. Esto les permite mantener el acceso al sistema incluso si se eliminan otros componentes del malware.
  • Rootkits: los rootkits son programas que se ocultan en el sistema y pueden modificar el comportamiento del sistema para permitir que los atacantes mantengan el acceso. Los rootkits pueden ocultar archivos, procesos y otras actividades maliciosas del usuario y de los programas antivirus.

De ahí que todas estas rutas para encontrar persistencia sean tan importantes a la hora de hacer un análisis forense.

Ya hemos visto qué es la persistencia y cómo encontrar persistencia en las distintas rutas de acceso a los ficheros para evitar ataques. Si quieres seguir formándote en las numerosas áreas que incluye la seguridad informática, en KeepCoding tenemos nuestro Bootcamp Ciberseguridad, la formación íntegra con la que te transformarás en un gran profesional IT con el acompañamiento de profesores expertos en el sector. ¡Solicita más información e impulsa ya mismo tu vida profesional!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado