Вы находитесь на странице: 1из 2

Preparación 1 Identificación 2 Identificación 2

• Al Investigador forense se le deberá de proporcionar Tenga en cuenta que se pueden usar los Utilitarios Actividad inusual en la red
acceso físico al sistema sospechoso. Se prefiere acceso Sysinternals para troubleshooting para realizar gran parte de •Revise los archivos compartidos y verifique que cada uno
físico sobre el acceso remoto pues el atacante podría estas tareas. esté enlazado a una actividad normal:
detectar las investigaciones que se hacen en el sistema c:\> net view \\127.0.0.1
(empleando por ejemplo un sniffer) Cuentas inusuales Use “tcpview si está disponible.
Busque cuentas inusuales creadas, especialmente dentro del •Revise las sesiones abiertas en la máquina:
• Puede ser necesario contar con una copia física del disco grupo Administadores: c:\> net session
duro con propósitos de forensia y de evidencia.
c:\> lusrmgr.msc •Mire las sesiones que la máquina ha abierto con otros
o sistemas:
Finalmente, puede ser necesario un acceso físico para c:\> net localgroup administrators o net localgroup c:\> net use
desconectar la máquina sospechosa de cualquier red. administradores •Revise si hay conexiones Netbios sospechosas:
c:\> nbtstat -S
• Se precisa de un buen conocimiento de la actividad usual Archivos inusuales •Busque actividad sospechosa en los puertos del sistema:
de la máquina/servidor en la red. Usted debe de tener un Busque archivos inusualmente grandes en los medios de c:\> netstat -na 5
archivo en lugar seguro donde se describa la actividad almacenamiento, mayores a 5MB. (Puede ser la indicación (el “5” hace que se refresque cada 5 segundos)
usual de puertos para poder comparar eficientemente con de un sistema comprometido para almacenamiento de Use la opción -o de Windows XP/2003 para ver el dueño
el estado actual. contenido ilegal) (owner) de cada proceso:
Busque archivos inusuales recientemente añadidos en las c:\> netstat -nao 5
• Puede ser de gran ayuda tener un buen conocimiento de carpetas de sistema, especialmente en Use fport si es posible.
los servicios que corren usualmente en la máquina. No c:\WINDOWS\system32
dude en pedir ayuda a un experto en Windows si lo
Tareas automáticas inusuales
considera necesario.. Es una buena idea tener un mapa de Entradas inusuales al Registro
Busque si hay entradas inusuales en la lista de tareas
los servicios y procesos que se ejecutan en la máquina. Busque en el registro de Windows si hay programas
programadas:
inusuales lanzados al momento de inicializar (boot), c:\> at
Puede ser una verdadera ventaja trabajar en un medio específicamente: En Windows 2003/XP c:\> schtasks
corporativo muy grande donde todas las máquinas son HKLM\Software\Microsoft\CurrentVersion\Run
iguales e instaladas con un CD/DVD maestro. Tenga un mapa HKLM\Software\Microsoft\CurrentVersion\Runonce Entradas inusuales en el log
de todos los procesos/servicios/aplicaciones. En semejante HKLM\Software\Microsoft\CurrentVersion\RunonceEx
• Revise sus log buscando entradas inusuales:
entorno donde a los usuarios no se les permite instalar Si es posible, use “HiJackThis”. Vea también su carpeta
c:\> eventvwr.msc
software, considere todo proceso/ servicio/aplicación como Startup
Si es posible, use “Event Log Viewer” o herramienta
sospechoso. similar
Procesos y Servicios inusuales
• Busque eventos que afecten al firewall, al antivirus, la
Mientras más conozca la máquina en su est ado Revise todos los procesos ejecutándose en busca de
protección de archivos o cualquier servicio nuevo
“limpio”, más oportunidades tendrá de det ect ar entradas inusuales o desconocidas, en particular aquellas
sospechoso.
cualquier actividad fraudulent a ejecut ándose en con nombre de usuario “SYSTEM” o “ADMINISTRATOR”.
ella. c:\> taskmgr.exe
(o tlisk, tasklist dependiendo de la versión de Windows) • Busque si hay una gran cantidad de intentos fallidos de
Utilice psexplorer si está disponible login o cuentas bloqueadas.
• Revise los archivos de log de su firewall en busca de
Revise las carpetas “Inicio” de los usuarios actividad sospechosa.
c:\Documents ans Settings\user\Start
Menu\Programs\Startup Busque la existencia de rootkits
c:\WinNT\Profiles\user\Start Menu\Programs Ejecute “GMER”, “TDSSkiller”, o similares

Busque servicios de red inusuales/inesperados Busque malware


instalados e iniciados Ejecute al menos un antivirus sobre todo el disco. Si es
c:\> services.msc posible use varios antivirus. Éstos deben de estar
c:\> net start absolutamente actualizados.
Contención 3 Recuperación 5
•Si la máquina es considerada crítica para la actividad de su Sin importar cómo entró el atacante al sistema y el
organización y no puede ser desconectada, respalde todos conocimiento que usted obtenga del ataque, en medida que
los datos importantes en caso que el atacante note que el sistema ha sido penetrado, la mejor práctica es reinstalar
usted está investigando y empiece a borrar archivos. íntegramente el sistema desde medios originales y aplicarle
Haga también una copia de la memoria del sistema para todos los parches al sistema recién instalado.
análisis posterior. Puede emplear herramientas como IRM #2
Win32dd, Memoryze, etc. Si no se puediese aplicar esta solución, Ud. deberá:
•Si la máquina no es considerada crítica para su Detección de Intrusión en Windows
organización y puede ser desconectada, apáguela •Cambiar todas las contraseñas de cuenta del sistema, Análisis en vivo sobre un sistema sospechoso en
súbitamente desenchufándola. Si es una laptop con su y hacer que sus usuarios lo hagan de manera segura: Windows
batería, sólo presione por unos segundos el botón de deberán de usar combinaciones de
apagado hasta que se apague. mayúsculas/minúsculas, caracteres especiales y números,
•Si el análisis en vivo no arrojó un resultado se deben de 8 caracteres mínimo. Autor IRM: CERT SG / Cedric Pernet
iniciar inmediatamente las investigaciones “off line” y el Versión IRM: 1.2
sistema aún se debe de considerar como comprometido. •Restaure todos los archivos que pudieran haber sido email: cert.sg@socgen.com
cambiados por el atacante. p.ej. svchost.exe web: http://cert.societegenerale.com
Haga una copia física (bit a bit) de todo el disco duro en un Traducción: Francisco Neira
soporte externo de almacenamiento empleando una email: neira.francisco@gmail.com
herramienta forense como EnCase, X-Ways, dd, ddrescue, Twitter: @neirafrancisco
etc.

Trate de hallar evidencia de cada acción del Repercusiones 6


atacant e:
•Busque todos los archivos usados por el atacante, Informe
Extracto
incluyendo archivos borrados y vea que se hizo con ellos o Deberá de redactarse un informe de crisis que será Esta “Metodología de Respuesta a Incidentes” (IRM, por sus siglas
al menos su funcionalidad, con la finalidad de evaluar la distribuído entre todos los actores de la célula de manejo de en inglés) es una hoja resumen dedicada a los manejadores de
amenaza. crisis. incidentes que investigan un asunto de seguridad específico. Quién
debe de usar estas hojas IRM?
•Revise todos los archivos accedidos recientemente.
• Administradores
•Inspeccione los compartidos de red para ver si el malware Deben de describirse los siguientes temas:
• Centro de Operaciones de Seguridad (SOC)
se ha propagado por ella. Causa inicial de la infección
• CISOs y sus delegados
•Mas generalmente, trate de encontrar cómo entró el Acciones y líneas de tiempo de cada evento importante
• CSIRT (equipos de respuesta a incidentes informáticos)
atacante al sistema. Deben de considerarse todas las Qué salió bien Recuerde: Si usted afronta un incidente, siga el IRM, tome
pistas. Si no hay prueba computacional de la intrusión, Qué salió mal notas y no pierda el control. Contacte su CSIRT
nunca olvide que pudo haber llegado por acceso físico, en Costo del incidente inmediamente si es necesario.
complicidad o robo de información por un empleado.
•Aplique todos los “fixes” disponibles al sistema operativo y a Capitalice
aplicaciones en caso el atacante haya usado una Deberán de definirse las acciones para mejorar los procesos Pasos del manejo de incidentes
vulnerabilidad. de manejo de infecciones de gusanos para capitalizar esta
experiencia. Se definen 6 pasos para manejar los incidentes de seguridad:
• Preparación: Alistarse para manejar el incidente
Remedio 4 •

Identificación: Detectar el incidente
Contención: Limitar el impacto del incidente
• Remedio: Remover la amenaza
En caso el sist ema haya sido comprometido: • Recuperación: Recobrar a una etapa normal
•Remueva temporalmente todos los accesos a las cuentas • Repercusiones: Delinear y mejorar el proceso
involucradas en el incidente.
•Borre todos los archivos maliciosos que instaló el atacante.