CERT-SG IRM-07: Windows Malware

CERT-SG IRM-07: Windows Malware

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, live analysis on a suspicious Windows computer for malware detection.

WHO SHOULD USE IRM SHEETS?

  • Administrators
  • Security Operation Center
  • CISOs and deputies
  • CERTs (Computer Emergency Response Team)

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a la deteccion de malware en sistemas Windows. Inspirado en los posters del SANS Institute.

Hallazgos clave

  • Preparacion: Desplegar EDR como piedra angular; preparar perfiles de adquisicion para FastIR, DFIR Orc, KAPE, DumpIt, FTK Imager, WinPmem; desplegar Sysmon, SmartScreen y aplicar baselines de ANSSI y CIS; sincronizar equipos con NTP; instalar desde mismo master original
  • Identificacion - Signos generales de malware: Alertas EDR/HIDS/AV, AV incapaz de actualizar o ejecutar escaneos, actividad inusual de disco duro, lentitud subita, actividad de red anomala, reinicios sin razon, crashes de aplicaciones, pop-ups, IP en blocklists, envio de emails/mensajes no autorizados
  • Clasificacion de malware: La familia de malware impacta los siguientes pasos; PUP o Miner requieren investigacion rapida; Stealer, Dropper o Ransomware requieren analisis profundo y pueden derivar a otros IRMs
  • Identificacion - Adquisicion: CRITICO: capturar memoria volatil ANTES de cualquier otra accion; triage con EDR/FastIR/DFIR Orc/KAPE o imagen completa de disco con dd/FTKImager
  • Identificacion - Analisis de memoria: Buscar procesos maliciosos, revisar DLLs/handles, artefactos de red, inyeccion de codigo, rootkits, volcar procesos sospechosos
  • Identificacion - Persistencia: Tareas programadas, servicios, claves de registro auto-start, DLL hijacking, bibliotecas troyanizadas, GPO local, add-ins Office, persistencia pre-boot; usar Microsoft Autoruns como quick win
  • Identificacion - Event Logs y Super-Timeline: Revisar logs de tareas, logon, servicios, RDP, PowerShell, SMB; generar super-timeline con Log2timeline; analisis Yara/Sigma
  • Contencion: Adquirir memoria primero; aislar via EDR o desconexion fisica; enviar binarios sospechosos al CERT en archivo zip con contrasena; inspeccionar shares de red
  • Remediacion: Solo remediar con perimetro 100% contenido; reimaginar maquina; remover binarios y entradas de registro; aplicar modo prevencion EDR para IOCs
  • Recuperacion: Reinstalar OS y aplicaciones desde backups limpios; si no es posible: restaurar archivos, cambiar contrasenas, escaneo completo AV+EDR; reforzar campanas de awareness si el usuario fue el origen

Relevancia

Complementa al IRM-2 (Windows Intrusion) con un enfoque especifico en malware. La clasificacion por familia de malware (PUP vs Stealer vs Ransomware) para determinar la profundidad de la investigacion es una guia de triaje practica. La recomendacion de enviar binarios sospechosos al CERT en zip con contrasena es un procedimiento operativo importante para compartir muestras de forma segura.

Citas clave

"The family of malware identified will impact the next steps of the incident response. Investigation will be faster for a Potentially Unwanted Software or a Miner. Stealer, Dropper or Ransomware family will imply a deeper analysis and may lead to another kind of incident." (p. 5)

"Send the suspect binaries to your CERT, or request CERT's help if you are unsure about the malware's nature. The CERT should be able to isolate the malicious content and can send it to all AV companies, including your corporate contractors. (The best way is to create a zipped, password-encrypted file of the suspicious binary.)" (p. 8)

"If a user is at the origin of the compromise, you should reinforce security awareness campaigns." (p. 10)

Conexiones

Themes