CERT-SG IRM-01: Worm Infection

CERT-SG IRM-01: Worm Infection

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle information system Worm infections.

WHO SHOULD USE IRM SHEETS?

  • Administrators
  • Security Operation Center
  • CISOs and deputies
  • CERTs (Computer Emergency Response Team)

INCIDENT HANDLING STEPS — 6 steps are defined to handle security incidents:

  1. Preparation: get ready to handle the incident
  2. Identification: detect the incident
  3. Containment: limit the impact of the incident
  4. Remediation: remove the threat
  5. Recovery: recover to a normal stage
  6. Lessons learned: draw up and improve the process

IRM provides detailed information for each step of the incident response process. The steps come from NIST Computer Security Incident Handling Guide.

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos para el manejo de incidentes de seguridad, aplicado a infecciones por malware/worm.

Hallazgos clave

  • Preparacion: Definir actores de la celula de crisis con lista de contactos actualizada; asegurar que EDR, Antivirus, IDS y analizadores de logs esten operativos y actualizados; mantener mapa de arquitectura de red e inventario de activos
  • Identificacion: Recopilar informacion de multiples fuentes (logs AV, IDS/IPS, EDR, intentos de conexion sospechosos, cuentas bloqueadas, trafico de red inusual, aumento de llamadas de soporte); analizar sintomas para identificar el malware, vectores de propagacion y contramedidas; notificar al CISO y CERT nacional si es necesario
  • Contencion: Desconectar el area infectada de Internet; aislar y desconectar de toda red; neutralizar vectores de propagacion usando EDR, WSUS, GPO, reglas de firewall; bloquear dispositivos moviles como vectores; repetir en sub-areas hasta detener la propagacion
  • Remediacion: Identificar herramientas de remediacion (base de firmas AV, Yara, Loki, DFIR-ORC, ThorLite, EDR); la forma mas directa es reimaginar la maquina; definir proceso de desinfeccion validado por CERT/SOC; desplegar via EDR, WSUS/GPO, firmas AV o parcheado de vulnerabilidades
  • Recuperacion: Reabrir trafico de red paso a paso con aprobacion de gestion; reconectar sub-areas, laptops moviles, red local e Internet secuencialmente con monitoreo tecnico
  • Lecciones aprendidas: Documentar causa inicial, acciones y cronologia, aciertos, errores, costo del incidente e indicadores de compromiso (IOCs)

Relevancia

Guia operativa fundamental para equipos de respuesta a incidentes que enfrentan infecciones por malware/worms. Proporciona un flujo de trabajo estructurado de 6 pasos que permite una respuesta ordenada. Especialmente relevante la enfasis en neutralizar vectores de propagacion antes de remediar, y la recomendacion de reimaginar maquinas como metodo mas seguro de limpieza.

Citas clave

"Remember: If you face an incident, follow IRM, take notes. Keep calm and contact your business line's Incident Response team or CERT immediately if needed." (p. 2)

"The most straight-forward way to get rid of the worm is to remaster the machine." (p. 7)

"Warning: some worm can block some of the remediation deployment methods. If so, a workaround must be found." (p. 7)

"All these steps shall be made in a step-by-step manner and a technical monitoring shall be enforced by the crisis team." (p. 8)

Conexiones

Themes