CERT-SG IRM-18: Large Scale Compromise
CERT-SG IRM-18: Large Scale Compromise
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle and respond to large scale compromise.
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a compromisos a gran escala.
Hallazgos clave
- Preparacion - General: Desplegar EDR en endpoints y servidores (piedra angular de IR); EDR Search y AV scan con reglas IOC explicitas; EDR en modo prevent; bloquear IOCs de Threat Intelligence; SIEM para logs; capacidad YARA/DFIR-ORC (ANSSI); buena retencion y verbosidad de logs; postura estricta vs atacante; estrategia de comunicacion interna/externa; proceso para definir postura al detectar compromiso (discreto o reaccion rapida); prepararse para notificar a equipos de abuso, fuerzas del orden y reguladores
- Preparacion - Endpoint: Conocimiento de politicas de seguridad OS y perfiles de usuario; herramientas de monitoreo actualizadas; contactos con equipos de red y operaciones de seguridad; proceso de notificacion de alertas definido; todos los equipos sincronizados con mismo NTP; clasificar archivos sensibles y restringir acceso; herramientas de analisis funcionales y actualizadas (AV, EDR, IDS, analizadores de logs)
- Preparacion - Red: Conocimiento de arquitectura, VLAN, interconexiones con capacidad de aislamiento; inventario de puntos de acceso de red actualizado; mapas y configuraciones de red actualizados; buscar puntos de acceso no autorizados (xDSL, Wi-Fi, Modem) regularmente; herramientas y procesos de gestion de trafico operativos; conocimiento del trafico habitual de maquinas/servidores; identificar trafico baseline y flujos criticos de negocio
- Identificacion: Monitoreo de IOCs de Threat Intelligence por SOC; alertas de AV/EDR/SIEM/IDS; emails sospechosos con adjuntos; movimiento lateral hacia AD/ShareFile con cuentas privilegiadas en horarios anomalos; alto numero de cuentas bloqueadas; conexiones a Tor/I2P/tor2web/Bitcoin; conexiones raras; si se identifica malware: desconectar de red y mantener encendido para forense; scoping con EDR/logs/herramientas de busqueda de IOCs a escala; identificar tecnicas de pivoting; revisar estadisticas y logs de dispositivos de red; identificar uso malicioso de cuentas comprometidas; identificar C2 en logs de firewall/proxy/IDS/sistema/EDR/DNS/NetFlow/router; buscar vector inicial en activos expuestos; verificar binarios en perfiles de usuario y directorios del sistema
- Contencion: Si es estrategico (acceso a recursos sensibles), activar celula de gestion de crisis especifica; identificar todos los footholds antes de contener; ser discreto si es necesario; aislar VLAN/interconexiones comprometidos; desconectar computadoras comprometidas (aislar con EDR); bloquear trafico a C2s y IPs del atacante; deshabilitar cuentas comprometidas/creadas; enviar muestras no detectadas a proveedor/sandboxes; si trafico critico no puede desconectarse, verificar que no sea vector de infeccion; neutralizar vectores de propagacion (WSUS, GPO, firewall rules, DNS sinkhole, parar ShareFile, terminar conexiones/procesos); repetir en cada sub-area; bloquear destinos de exfiltracion; restringir servidores de archivos estrategicos; configurar logging en modo verbose en servidor remoto seguro
- Remediacion - Endpoint: Reinicializar accesos de cuentas involucradas; remover cuentas del atacante; remover acceso inicial; remover binarios de lateralizacion; remover persistencia; cambiar contrasenas comprometidas; revertir cambios de configuracion; hardening de sistemas
- Remediacion - Red: Bloquear todos los canales de comunicacion del atacante en fronteras de red; si es insider, involucrar management/HR/legal; verificar configuracion de seguridad intacta (GPO, AV, EDR, Patch); hardening de configuracion de red
- Recuperacion - Endpoint: Verificar ausencia de binarios maliciosos; reinstalar desde media original (mejor practica); aplicar todos los parches; si no es posible: restaurar archivos alterados y cambiar contrasenas con politica fuerte
- Recuperacion - Red: Verificar trafico normal; re-permitir trafico que fue usado como metodo de propagacion; reconectar sub-areas, red local e Internet progresivamente; monitorear trafico; aplicar geo-filtering
Relevancia
La guia mas comprehensiva de toda la serie IRM, sirve como referencia maestra para la mayoria de los otros IRMs. Su estructura dual endpoint/red en cada fase demuestra la complejidad de compromisos a gran escala. La decision entre postura discreta vs reaccion rapida al momento de deteccion es una decision estrategica critica que determina todo el curso del incidente. La enfasis en sincronizacion NTP y baseline de trafico como preparacion refleja la madurez operativa necesaria para IR efectiva.
Citas clave
"Have a process to define a posture as soon as the compromise is detected: discreet or fast reaction." (p. 4)
"The identification of the Threat Actor at the origin of the attack could help the following phases based on known TTPs." (p. 7)
"If the source has been identified as an external offender, consider involving abuse teams and law enforcement services and regulators if required." (p. 10)
Conexiones
- certsg-irm-17-ransomware — Ransomware, caso especifico frecuente de compromiso a gran escala
- certsg-irm-02-windows-intrusion — Intrusion Windows, pasos de remediacion referenciados
- certsg-irm-03-unix-linux-intrusion — Intrusion Linux, pasos de remediacion referenciados
- certsg-irm-01-worm-infection — Infeccion por gusano, tecnicas de contencion compartidas
- certsg-irm-05-malicious-network-behaviour — Comportamiento de red malicioso, deteccion de C2
- Tema principal: Themes/respuesta-incidentes-lifecycle