Llegamos a ustedes gracias a:



Reportajes y análisis

Consejos para preparar una investigación forense en las redes de Windows

[06/10/2020] El teléfono suena. Lo contesta y la voz temblorosa del otro extremo dice: "Creemos que ha habido una brecha". ¿Cuál es su primer pensamiento sobre qué hacer?

Un reciente aviso conjunto emitido por Australia, Canadá, Nueva Zelandia, el Reino Unido y los Estados Unidos destaca los enfoques técnicos para descubrir actividades maliciosas, e incluye medidas de mitigación de mejores prácticas. El objetivo del aviso es ayudar a las organizaciones a mejorar la respuesta a los incidentes. Eso comienza con la recopilación de datos pertinentes: registros de sucesos, archivos de historial del navegador, pruebas de puertos de escucha, fechas históricas de creación de carpetas y archivos, y así sucesivamente.

Yo daría un paso atrás y me aseguraría de que el registro se haya configurado correctamente antes de que ocurra un incidente. Instale Sysmon en todos los sistemas relevantes para registrar los eventos con el fin de identificar actividades maliciosas o anómalas, y comprender cómo operan los intrusos y el malware en su red. A continuación, exporte estos archivos de registro a su SIEM (información de seguridad y gestión de eventos).

Haga una copia de seguridad de los sistemas infectados

No es conveniente examinar un sistema mientras se está utilizando, ya que esto puede contaminar las pruebas del sistema. Haga una copia de seguridad del sistema para examinar los datos de la imagen, en lugar de hacer una investigación en un sistema en vivo. Utilice herramientas como FTK Imager para hacer una copia de seguridad forense de la computadora para investigar y conservar el sistema original para preservar las pruebas.

Si está haciendo un análisis porque sospecha que algo sucedió en un sistema y no está seguro de si un sistema ha sido comprometido, herramientas como PsLogList le permiten volcar el contenido de un registro de eventos en la computadora local o remota. Sigcheck te permite comprobar el número de versión del archivo, la información de la marca de tiempo y los detalles de la firma digital, incluyendo las cadenas de certificados. ListDLLs reporta las DLLs cargadas en los procesos. Por último, Handle le permite ver qué programa tiene un archivo o directorio particular abierto.

Los datos a recopilar después de un ataque

Debería reunir la siguiente información del sistema:

  • Procesos en ejecución: Use C:\> lista de tareas /NH | clasificar para preparar una lista de procesos.
  • Servicios en ejecución: Use net start > output.txt.
  • Árboles de procesos padre-hijo: Use Process Explorer para preparar esta lista.
  • Hash de integridad de los ejecutables de fondo: Use Sigcheck para revisar la integridad de los archivos.
  • Aplicaciones instaladas: Use wmic product get /format:csv > Software_%Computername%.csv
  • Usuarios locales y del dominio: Usar el nombre de usuario de los usuarios de la red
  • Autenticaciones inusuales: Es posible que tenga que revisar varias autenticaciones para determinar lo que es inusual.
  • Nombres de usuario con formato no estándar
  • Puertos de escucha y servicios asociados: Use netstat -an |find /i "listening".
  • Ajustes de resolución del Sistema de Nombres de Dominio (DNS) y rutas estáticas: Use ipconfig /displaydns.
  • Conexiones de red establecidas y recientes: Use netstat -f.
  • Ejecutar clave y otra persistencia de autoejecución: Use autorun para investigar.
  • Tareas programadas: Use schtasks /query /v /fo LIST.
  • Artefactos de ejecución (Prefetch y Shimcache): Revíselos a través de la hive de registro.
  • Registros de eventos: Use herramientas como la herramienta de registro de eventos de Nirsoft.
  • Detección de anti-virus

También puedes usar las herramientas forenses de Eric Zimmerman que se encuentran en GitHub.

Otros elementos adicionales que puede que necesite investigar incluyen:

  • UserAssist muestra una tabla de programas ejecutados en una máquina Windows con el recuento de ejecución y la fecha y hora de la última ejecución.
  • Shimcache rastrea metadatos como la ruta completa del archivo, la fecha de la última modificación y el tamaño del archivo, pero solo contiene la información anterior al último inicio del sistema, ya que las entradas actuales solo se almacenan en la memoria.
  • hve es un archivo de registro que almacena la información de las aplicaciones ejecutadas.
  • Los archivos de Prefetch son grandes elementos para los investigadores forenses que tratan de analizar las aplicaciones que se han ejecutado en un sistema.
  • USN Journal se utiliza para determinar si se produce algún cambio en un archivo específico por las aplicaciones.
  • MFT contiene información del sistema de archivos como las fechas de modificación, acceso y creación y el tamaño del archivo.

La importancia de mantener los datos de registro intactos

Con demasiada frecuencia, las organizaciones destruyen la información antes de que los encargados de responder a los incidentes puedan proteger y recuperar los datos. Quieren volver a poner los sistemas en línea y los negocios en marcha, pero luego pierden las pruebas forenses que necesitan para determinar quién fue el atacante y cómo entró en el sistema. El uso de comandos como ping, nslookup o navegación puede alertar al atacante de que han sido detectados. Bloquear al atacante en el firewall puede funcionar por un corto tiempo. Los atacantes pueden girar fácilmente a otro lugar de ataque.

Mantener los archivos de registro intactos es un requisito clave en la investigación. A menudo, un atacante eliminará los archivos de registro para ocultar sus huellas. Haga que le envíen una alerta si un archivo de registro se elimina repentinamente, ya que no es una actividad normal y a menudo es una señal de que un atacante está en el sistema. Almacene los archivos de registro fuera del sitio donde el atacante no pueda tener acceso y borre las pruebas. Si ejecuta una red de Windows, instale una instalación gratuita de Splunk para probar una herramienta de SIEM si no tiene ya una en su entorno. Si usa Office 365 o Microsoft 365, puede extraer los registros usando PowerShell.

Usar la misma red o incluso examinar la máquina en vivo a menudo manchará la evidencia y le indicará al atacante que usted ha determinado que la máquina fue atacada. Puede que desee tener a los primeros en responder que estén conectados a un VLAN o mejor aún en su propia red, como una red celular.

Si elimina una infección y no investiga cómo el atacante obtuvo acceso al sistema, dejará su red vulnerable a más ataques. Restaurar el sistema desde una copia de seguridad, cuando no se entiende la causa raíz del ataque pone al sistema de nuevo en la misma condición vulnerable que permitió el ataque. Si su empresa no tiene un equipo de investigación in situ, asegúrese de tener acceso a alguien que tenga la experiencia necesaria. Pregunte a su compañía de ciberseguros qué recursos le proporcionan en caso de un ataque.