La persistencia consiste en garantizar el acceso a un sistema.

El número de técnicas de persistencia es grande y varía según el sistema operativo, y en algunos casos la configuración del sistema, incluidas las aplicaciones que están instaladas.

Por su propia naturaleza es una acción de gran riesgo, ya que muchos de los equipos de EDR (Endpoint Detection and Response), AV (antivirus) o HIPS (Host Intrusion Prevention System) buscan esto, una acción específica dentro del sistema para localizar al intruso.

Los tres factores principales que hay que tener en cuenta para la persistencia son:

• Nivel de acceso en el host y la red.
• Controles en el sistema que pueden alarmar o bloquear acciones.
• Salud del sistema (lo actualizado que esté).

Los dos tipos principales de persistencia son:

• En memoria: otra sesión que se ejecuta en paralelo de nuevo a la misma C2 o C2 alternativo ejecutándose en la memoria.
• En disco: cualquier cambio de configuración en el sistema (como añadir un usuario).