2

Um esclarecimento que acredito que seja importante:

Quando um atacante consegue explorar uma vulnerabilidade que permita a execução de código no servidor, ele abre um socket no servidor para permitir a execução de comandos na shell do sistema operacional. Essa a "shell".

O problema dessa técnica é que pode ser barrado pelo firewall, detectado por sistemas como EDR ou até mesmo levantar suspeitas para um analista, uma vez que ele note uma porta aberta no servidor que não deveria estar aberta.

É por esse motivo que, normalmente, se usa o tal do "reverse shell" que é basicamente tornar a máquina explorada no cliente e uma máquina controlada pelo atacante como servidor. Desse jeito, nenhum socket em modo listen é aberto no servidor explorado e, por isso, o tráfego não é barrado pelo firewall e dificilmente isso será detectado como comportamento suspeito por um EDR.

Como complemento, também faz sentido usar portas comuns como 22, 80 ou 443 para o tráfego de rede ter maiores chances de passar despercebido, sendo confundido com tráfego comum no servidor.

Dica de ferramenta: https://www.revshells.com/

Carregando publicação patrocinada...
0