type: guide
title: "CERT-SG IRM-02: Windows Intrusion"
authors: [CERT Societe Generale]
source: "https://github.com/certsocietegenerale/IRM"
reference: "Incident Response Methodology #02 - CERT SG"
tags:
  - topic/incident-response
  - topic/cti
  - method/case-study
processed: true
status: seedling

CERT-SG IRM-02: Windows Intrusion

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, live analysis on a suspicious Windows system.

WHO SHOULD USE IRM SHEETS?

Administrators
Security Operation Center
CISOs and deputies
CERTs (Computer Emergency Response Team)

INCIDENT HANDLING STEPS — 6 steps are defined to handle security incidents:

Preparation: get ready to handle the incident
Identification: detect the incident
Containment: limit the impact of the incident
Remediation: remove the threat
Recovery: recover to a normal stage
Lessons learned: draw up and improve the process

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a la deteccion de intrusiones en sistemas Windows. Fuertemente inspirado en los posters del SANS Institute.

Hallazgos clave

Preparacion: Desplegar EDR como piedra angular de la respuesta a incidentes; preparar perfiles de adquisicion para FastIR, DFIR Orc, KAPE; conocer la actividad normal de red y servicios de la maquina; en entornos corporativos uniformes, cualquier proceso/servicio/aplicacion adicional es sospechoso
Identificacion - Adquisicion de evidencia: CRITICO: capturar memoria volatil ANTES de cualquier otra accion (FTK Imager, WinPmem); usar Volatility para analisis de memoria; tomar imagen de triaje o copia completa de disco
Identificacion - Analisis de memoria: Buscar procesos maliciosos, revisar DLLs y handles, verificar artefactos de red, buscar inyeccion de codigo, detectar rootkits, volcar procesos sospechosos
Identificacion - Mecanismos de persistencia: Tareas programadas, reemplazo/creacion de servicios, claves de registro de auto-inicio, DLL search order hijacking, bibliotecas de sistema troyanizadas, GPO local, add-ins de MS Office, persistencia pre-boot (BIOS/UEFI/MBR)
Identificacion - Event Logs: Revisar logs de tareas programadas, eventos de logon (conexiones fuera de horario), cuentas locales sospechosas, servicios maliciosos, limpieza de event logs, logs RDP/TSE, PowerShell y SMB
Identificacion - Super-Timeline: Generar super-timeline con Log2timeline; analizar con TimelineExplorer o glogg
Contencion: Adquirir memoria y artefactos volatiles primero; aislar via EDR o desconexion fisica; inspeccionar shares de red; identificar punto de entrada del atacante
Remediacion: Solo remediar cuando el perimetro este 100% contenido; reimaginar maquina como mejor opcion; remover accesos de cuentas involucradas; eliminar archivos maliciosos y mecanismos de persistencia; aplicar modo prevencion EDR para IOCs identificados
Recuperacion: Reinstalar sistema desde medios originales y aplicar todos los parches; si no es posible, cambiar todas las contrasenas y restaurar archivos alterados

Relevancia

Guia esencial para analistas forenses de Windows. Destaca la importancia critica de capturar datos volatiles (memoria RAM) antes de cualquier otra accion, ya que proporcionan informacion forense invaluable. La lista exhaustiva de mecanismos de persistencia y event logs a revisar sirve como checklist operativo durante una investigacion.

Citas clave

"WARNING (VOLATILE DATA): BEFORE CARRYING OUT ANY OTHER ACTIONS, MAKE SURE TO MAKE A VOLATILE MEMORY CAPTURE BY DOWNLOADING AND RUNNING FTK IMAGER, WINPMEM OR ANOTHER UTILITY FROM AN EXTERNAL DRIVE." (p. 5)

"The more you know the machine in its clean state, the more chances you have to detect any fraudulent activity running from it." (p. 4)

"WARNING: ONLY START REMEDIATING ONCE YOU ARE 100% SURE THAT YOU HAVE WELL SCOPED UP AND CONTAINED THE PERIMETER - TO PREVENT THE ATTACKER FROM LAUNCHING RETALIATION ACTIONS." (p. 8)

"No matter how far the hacker has advanced into the system and the knowledge you might have obtain about the compromise, as long as the system has been breached, the best practice is to reinstall the system fully from original media and apply all security updates to the newly installed system." (p. 9)

Conexiones

certsg-irm-01-worm-infection — Respuesta a infecciones por malware, referencia cruzada desde identificacion
certsg-irm-03-unix-linux-intrusion — Equivalente para sistemas Unix/Linux
certsg-irm-07-windows-malware — Deteccion de malware Windows, complementario
certsg-irm-18-large-scale-compromise — Referenciado para crisis estrategicas y recuperacion de infraestructura
Tema principal: Themes/respuesta-incidentes-lifecycle

Themes

tema-incident-response-irm