Conceptos básicos de respuesta a incidentes de Windows

Herramientas para análisis de seguridad en Windows

Para la mayoría de las personas es difícil determinar qué es “normal” cuando se buscan signos que revelen un host comprometido. Este es fácilmente uno de los mayores problemas a los que se enfrentan los especialistas en forense digital, ya que afecta el nivel de respuesta al incidente, así como la identificación de un ataque.

Algunas de las herramientas más confiables para respuesta de incidentes están integradas en Windows y Linux. Este artículo se enfoca principalmente Windows, aunque de manera muy general, pero es un buen punto de partida. Windows tiene una herramienta extremadamente poderosa llamada Windows Management Instrumentation Command (WMIC). WMIC es extremadamente útil en la respuesta de incidentes, así como para pruebas de penetración. Es probable que utilizar esta herramienta sea suficiente para notar algunas de las señales indicadoras de infección en el host.

Acorde a especialistas en forense digital lo más importante de estas herramientas es reconocer lo que no es normal. La mejor manera de hacerlo es familiarizarse con los resultados de las herramientas. Mire los archivos DLL asociados para procesos comunes como svchost para que pueda determinar si es realmente un ejecutable malicioso.

Comandos de respuesta a incidentes de Windows

Registro de eventos

Los registros de eventos pueden ser una gran fuente de información. Algunos de los registros que pueden ser útiles son registros de seguridad que indican cambios o adiciones a la cuenta de usuario, intentos fallidos de inicio de sesión de usuario o cambios de estado del servicio.

Netstat

Netstat es una herramienta incluida con Windows y Linux. Le permite mostrar conexiones TCP activas, puertos de escucha y muchas otras estadísticas, incluido con qué ID de proceso está asociada la conexión. Este comando mostrará todas las conexiones TCP activas, así como la escucha de los puertos TCP y UDP:

netstat –anob

Tasklist

La lista de tareas muestra una lista de aplicaciones y servicios con su ID de proceso. Es muy útil para determinar qué proceso está asociado con un PID. Por ejemplo, si observa una conexión extraña en la salida de netstat, puede determinar el proceso con esta herramienta. El siguiente comando mostrará la tarea asociada, así como las DLL asociadas:

tasklist / m / fi “pid eq <Inserte la ID del proceso aquí sin los corchetes>”

Net

Los comandos net tienen una variedad de usos. Esta función tiene múltiples similares. Todas son útiles para identificar la información del sistema, así como la actividad activa de la red.

Estos comandos muestran sesiones abiertas con su host:

net session

net use

net user

net view

WMIC

WMIC es una herramienta extremadamente útil para cualquier experto en forense digital. Es como tener una caja de herramientas que puede acelerar enormemente el proceso análisis de sistema.

Este comando mostrará el nombre y el ID del proceso principal de un ID de proceso determinado. Este sería el siguiente paso después de determinar qué proceso está realizando una actividad de red extraña:

wmic process get name,processid,parentprocessid|find “<Inserte el PID aquí, si n los corchetes>”

Luego puede seguir ejecutando el mismo comando con el ID del proceso principal para determinar el nombre del proceso principal.