Opa, cara entendo seus pontos, mas:

A premissa de que "qualquer empresa séria" possui um nível de maturidade em segurança capaz de detectar essas técnicas é desconectada da realidade. A grande maioria das empresas, incluindo muitas de grande porte, não possui um SOC 24/7, EDRs bem configurados, ou analistas dedicados a caçar ameaças. O "mínimo de segurança" para muitas ainda é um firewall e um antivírus tradicional.

As técnicas que apresentei não são destinadas a enganar uma equipe de forense digital especializada após o fato, mas sim a evitar a detecção inicial por sistemas automatizados e por administradores de sistemas sobrecarregados durante uma verificação de rotina. Um ps aux ou um ls -l são comandos executados centenas de vezes ao dia. O objetivo é se misturar ao ruído, não ser invisível.

Change Time é alterado quando se usa touch e é um forte indicador de manipulação. No entanto, quantos administradores, ao investigar um alerta, usam stat em cada arquivo suspeito? A primeira checagem é ls -l, que exibe o mtime. O comando touch -r é eficaz para burlar essa primeira camada de verificação visual.

Sobre ser um pentest, um pentest ou exercício de Red Team simula um ataque completo. Ele começa com a exploração de uma vulnerabilidade para obter acesso inicial (muitas vezes como um usuário de baixo privilégio, como www-data). Em seguida, vem a fase de pós-exploração, que inclui escalonamento de privilégios para obter root ou sudo. As técnicas descritas são exatamente o que um atacante faz DEPOIS de obter acesso sudo. O objetivo não é mais ganhar acesso, mas sim MANTER o acesso e operar sem ser detectado.

O que apresentei é sobre sutileza e longevidade. São métodos de baixo custo e baixo ruído para manter a presença em um sistema por semanas ou meses, observando, coletando informações e esperando o momento certo para agir