La cobertura de huellas es una fase crítica en el proceso de post-explotación en pentesting. Su objetivo es eliminar o alterar cualquier rastro de actividad que pueda delatar la presencia del atacante en el sistema comprometido. Esta práctica es esencial para evitar la detección y mantener el acceso al sistema durante el mayor tiempo posible.

1. Logs y Registros: Archivos que almacenan eventos y actividades del sistema.
2. Herramientas de Monitoreo: Software que supervisa y registra actividades en el sistema.
3. Técnicas de Ocultación: Métodos para borrar o alterar registros y logs.

• Evasión de Detección: Minimiza la posibilidad de que el atacante sea detectado por administradores de sistemas o herramientas de monitoreo.
• Mantenimiento del Acceso: Permite al atacante mantener el acceso al sistema sin ser descubierto.
• Prevención de Análisis Forense: Dificulta la tarea de los analistas forenses para reconstruir los eventos y actividades del atacante.

Los logs son registros detallados de eventos y actividades en el sistema. Borrar estos registros es una técnica básica para ocultar la presencia del atacante.

Ejemplo de Borrado de Logs en Linux

Ejemplo de Borrado de Logs en Windows

Alterar las marcas de tiempo de archivos y registros para que coincidan con actividades legítimas y evitar sospechas.

Ejemplo de Modificación de Timestamps en Linux

Ejemplo de Modificación de Timestamps en Windows

Esconder procesos maliciosos para que no sean visibles en las listas de procesos del sistema.

Ejemplo de Ocultación de Procesos en Linux

Utilización de rootkits para ocultar procesos:

Ejemplo de Ocultación de Procesos en Windows

Uso de herramientas como Process Hacker para ocultar procesos:

Modificar configuraciones de seguridad para desactivar alertas y registros.

Ejemplo de Alteración en Linux

Ejemplo de Alteración en Windows

1. Accede a una máquina virtual Linux.
2. Genera algunos logs de autenticación fallida:

   ssh invaliduser@localhost
   

3. Borra los logs de autenticación:

   sudo rm /var/log/auth.log
   

1. Crea un archivo en Windows:

   New-Item -Path "C:\temp\example.txt" -ItemType "file"
   

2. Modifica la fecha de creación del archivo:

   (Get-Item "C:\temp\example.txt").CreationTime = "01/01/2022 12:00"
   

Solución Ejercicio 1

1. Accede a la máquina virtual Linux.
2. Genera logs de autenticación fallida:

   ssh invaliduser@localhost
   

3. Borra los logs de autenticación:

   sudo rm /var/log/auth.log
   

Solución Ejercicio 2

1. Crea un archivo en Windows:

   New-Item -Path "C:\temp\example.txt" -ItemType "file"
   

2. Modifica la fecha de creación del archivo:

   (Get-Item "C:\temp\example.txt").CreationTime = "01/01/2022 12:00"
   

• No verificar permisos: Asegúrate de tener los permisos necesarios para borrar o modificar archivos de logs.
• No reiniciar servicios: Después de modificar configuraciones, reinicia los servicios afectados para que los cambios surtan efecto.
• Dejar rastros: Asegúrate de cubrir todas las huellas, incluyendo logs de aplicaciones específicas y no solo los logs del sistema.

La cobertura de huellas es una habilidad esencial en el pentesting que permite a los atacantes evadir la detección y mantener el acceso al sistema comprometido. Es fundamental entender y practicar estas técnicas para realizar pruebas de penetración efectivas y realistas. En el siguiente módulo, exploraremos cómo documentar los hallazgos y proporcionar recomendaciones de remediación.