Am Ende eines Pentest sollten alle Konten, die für die Zwecke der Bewertung erstellt wurden, deaktiviert und entfernt werden. Darüber hinaus sollten Firewall-Regeln und alle anderen Netzwerk- oder Systemänderungen auf ihren ursprünglichen Zustand zurückgesetzt werden.

In Fällen, in denen Testdaten bereitgestellt werden, z. B. eine gefüllte Tabelle in einer Datenbank zur Unterstützung des Testens von Webanwendungen, ist es wichtig sicherzustellen, dass Testdaten entfernt werden, bevor die Anwendung die Entwicklungsphase verlässt und in eine Produktionsumgebung gelangt.

Häufige Bereinigungs-/Cleanup-Aufgaben:

• Löschen Sie alle neuen Dateien, die Sie erstellt haben.
• Entfernen Sie Credentials/Accounts, die Sie erstellt haben.
• Stellen Sie die originalen Konfigurationen wieder her, falls Sie etwas verändert haben.
• Wiederherstellen der Originaldateien, die Sie verändert haben.
• Wiederherstellen von Log Files, die Sie gelöscht haben.
• Stellen Sie die ursprünglichen Log Files wieder her, falls Sie diese verändert haben.
• Entfernen von Backdoors.
• Entfernen von zusätzlichen installierten Tools.
• Bereinigen Sie sensible Daten, die im Klartext exponiert wurden.
• Von kompromittierten Apps ein sauberes Backup wiederherstellen.
• Bereinigung/Cleanup wenn möglich über Skripts automatisieren.
• Machen Sie sich peinlich genaue Aufzeichnungen über alle Ihre Exploits.

Shells werden wahrscheinlich auf mehrere Arten auf den Zielsystemen versteckt.

• Entfernen Sie Startwerte in HKLM/HKCU Run Registry Keys.

Entfernen Sie geplgie Aufgaben im Task Scheduler/crontab Datei.

• Shell läuft möglicherweise nicht, ist aber ‚schlafend‘ vorhanden.

Entfernen von Netcat/anderen Backdoor-Binaries.
Entfernen Sie andere Tools, die für Kompromittierung verwendet werden können.

• Payloads, Keylogger, Scanner-Agents, etc.
• Einige in den Speicher geladene Programme werden beim Neustart automatisch entfernt.
• Einige erfordern eine manuelle Deinstallation.
• „Schreddern“, wann immer möglich.
• Vermeiden Sie Kollateralschäden.
• Entfernen Sie nur Testkonten, keine echten Benutzerkonten.
• Entfernen Sie keine Tools/Software, die für den Systembetrieb erforderlich oder gar essentiell sind.
• Hinterlassen Sie Zielsysteme am Ende in dem Zustand, in dem Sie sie vorgefunden haben.

Guidelines:

• Stellen Sie sicher, dass Sie alle verbleibenden Artefakte eines Pentests entfernt haben.
• Bereiten Sie sich darauf vor, eine Diskussion über den Inhalt des Berichts führen zu müssen.
• Gewinnen Sie die Kunden-Akzeptanz bezüglich des Tests und Ihrer gemeldeten Ergebnisse und Schlussfolgerungen.
• Finden Sie heraus was der Kunde braucht, um Beweise (Proofs) als solche anzuerkennen.
• Halten Sie einen Nachweis für Ihre Tests bereit.
• Erstellen Sie einen Bericht, in dem Sie sich selbst fragen, was gut gelaufen ist oder nicht.
• Identifizieren Sie Bereiche in denen Sie die die Prozesse und Tools für den Pentest verbessern können.
• Identifizieren Sie alle Follow-Up Aktivitäten, die ausgeführt werden müssen.
• Identifizieren Sie wer diese Aktionen ausführen werden muss.

• https://livebook.manning.com/book/penetrating-enterprise-networks/chapter-11/17