Regularmente realizo pruebas con lápiz en aplicaciones web, sistemas operativos, etc. Ocasionalmente, tengo la suerte de hacer un ejercicio de 'red teaming' y atacar en todos los puntos posibles de una red (personas, etc. también ) que es muy divertido y por lo general va bastante bien.
Sin embargo, un cliente mencionó recientemente que también estaría interesado en probar máquinas del lado del cliente (usuario final), como computadoras de escritorio / portátiles, para ver qué tipo de ataques se podrían realizar contra ellos, como una medios para probar la seguridad de los puntos finales (firewall / HIPS / AV / app whitellisting), y también para poner a prueba su programa de respuesta a incidentes.
Están considerando el uso de malware personalizado para hacer esto y están dispuestos a dejar que intentemos propagar nuestro propio código en su entorno.
Debido a que la mayoría de los ataques exitosos en estos días involucran ataques del lado del cliente (phishing de lanza, descargas automáticas, etc.) tiene sentido probar los puntos finales reales (que generalmente son un gran problema). Sin embargo, me preocupa que si creamos una pieza de malware que se propaga por sí misma, eventualmente se suelte de la red, o que, en una de las infinitas interacciones posibles entre las aplicaciones, deje a algunos servidores fuera de línea. Obviamente, el cliente firmará una renuncia y asumirá riesgos como este.
¿Son los escenarios de ataque del lado del cliente solicitudes comunes? ¿Qué hacen otras personas en este tipo de escenarios? ¿Hay alguna metodología a seguir con respecto al uso de malware personalizado en los pentests del lado del cliente?