Tijdens het uitvoeren van een beveiligingsonderzoek kunnen pentesters sporen achterlaten, bijvoorbeeld scripts, temp files, shells of gecreëerde user accounts. In de ‘Covering Tracks’ fase worden deze sporen verwijderd van de systemen. Is het daar dan mee gedaan? Het antwoord is nee.
Veel tools maken gebruik van log files bij het uitvoeren van diverse taken. De voortgang of het resultaat van een taak wordt hier bijvoorbeeld heen geschreven. Het verwijderen van deze log files wordt regelmatig vergeten door pentesters. Dit komt omdat er vaak niet specifiek aan gedacht wordt of er geen makkelijke manier is om het te doen. Zo kan het zijn dat gekraakte hashes, IP-adressen etc. op het systeem van de pentester blijven staan.
Om dit te voorkomen maakt Onvio gebruik van ‘snapshots’ binnen virtual machines. Met behulp van een snapshot kan een eerdere staat van een machine teruggezet worden. Denk bijvoorbeeld aan het terugzetten van een back-up. Door het terugzetten van een snapshot wordt de staat van de virtuele machine teruggezet naar een schone versie, waardoor de klantdata meteen verwijderd is.
Het terugzetten van een snapshot kan erg omslachtig en tijdrovend zijn, vandaar dat Onvio ook nog een andere oplossing gecreëerd heeft. Het Pentest Cleaning Script is een bash script dat zowel normale log files als tools kan opruimen. Het script maakt gebruik van de find en regex functie binnen Linux om de bestanden op te sporen, waarna het mogelijk is alle klantdata, zoals gekraakte hashes, IP-addressen etc., binnen enkele seconden te verwijderen van het systeem van de pentester.
Bekijk het script op Github.