Tipos de payload

¿Conoces que es un payload en informatica y cuáles son los tipos de payload que existen y cómo se utilizan en ciberataques o ejercicios de pentesting?

Los payloads son aquellos códigos que se utilizan para ejecutar tareas maliciosas en un ordenador. Dichos códigos se ejecutan en una fase bastante avanzada del ciberataque o el ejercicio de hacking ético en el que se den. Antes de ejecutar un payload, hay que seguir un proceso para determinar cómo infiltrarse en el sistema de nuestro objetivo.

Fases del ciberataque

El primer paso de un ciberataque es el reconocimiento pasivo del sistema, en el que no hay una interacción directa con el mismo. Luego, viene el escaneo de la red para enumerar los dispositivos conectados a ella y el tipo de tecnología de software y hardware que utilizan. Después, se escanean las vulnerabilidades en estos dispositivos y de esta forma se determina cómo atacar.

Más adelante, ocurre la etapa de explotación, que se hace por medio de técnicas y softwares para aprovechar fallos informáticos e infiltrarse en el sistema del objetivo. Después de esto viene la etapa que concierne a este post: la fase de postexplotación, en la cual se ejecutan las tareas malignas en la máquina comprometida y su red.

Durante la fase de postexplotación, se utilizan payloads para ejecutar procesos como:

• Escalada de privilegios.
• Movimiento lateral por la red.
• Exfiltración de datos.
• Ejecución remota de código.
• Propagación de malware.

A continuación, veremos los diferentes tipos de payload que hay y cuáles son los más utilizados en ciberseguridad.

Tipos de payload

Los payloads se pueden clasificar de dos modos: según el sentido de la conexión entre la máquina del atacante y la de la víctima y de acuerdo a su función. Primero, veremos los tipos de payload según el primer estándar.

Según el sentido de la conexión

Según el sentido de la conexión, existen dos tipos de payload:

• Bind (directo): en el que la máquina del hacker se conecta a la de la víctima.
• Reverse (inverso): en el que la máquina de la víctima se conecta a la del hacker.

Comúnmente, es mucho más fácil utilizar payloads de tipo reverse, ya que no cuentan con obstáculos como firewalls y, además, la víctima no tiene que tener ningún puerto abierto para que funcionen. Por eso, normalmente, se recomienda escoger este tipo de payload.

Según la función

Existen tres tipos de payload full según su función:

• Shellcode: es un tipo de código que viene en un lenguaje de programación ensamblado y se inyecta en la memoria del ordenador por medio de algún software vulnerable. Permite ejecutar tareas maliciosas sin ser detenidas por el procesador.
• Ejecución de comandos: dependiendo del tipo de vulnerabilidad, el tamaño del payload puede variar. Si el tamaño del payload es muy pequeño y solo podemos ejecutar algunos comandos, podemos crear una puerta trasera en el sistema por medio de la creación de un usuario.
• Meterpreter: es un tipo de payload muy complejo y completo a la vez. Asimismo, es de gran tamaño y, por eso, no funciona con todas las vulnerabilidades. Por medio de este payload puedes ejecutar código de forma remota e, incluso, acceder a todas las funciones del sistema. Puedes descargar y subir archivos a la máquina comprometida, tomar capturas de pantalla y fotos desde la webcam. Además, Meterpreter funciona en un nivel muy bajo del sistema y es bastante difícil de detectar. Es, en esencia, el full payload ideal.

¿Cómo aprender más?

Si quieres aprender más sobre tipos de payload y cómo ejecutarlos, en KeepCoding tenemos un curso especialmente pensado para que logres tu objetivos y triunfes en el mercado laboral IT. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo convertirte en un experto en este sector en tan solo 7 meses. Aprende sobre temas como pentesting, análisis de malware, criptografía y mucho más. ¡No sigas esperando y cambia tu futuro ahora!