Un reciente aviso emitido destaca los enfoques técnicos para descubrir la actividad maliciosa e incluye los pasos de mitigación de las mejores prácticas. El objetivo del aviso es ayudar a las organizaciones a mejorar la respuesta a los incidentes. Esto comienza con la recopilación de datos relevantes: registros de eventos, archivos del historial del navegador, pruebas de puertos de escucha, fechas históricas de cuándo se crearon carpetas y archivos, etc.
Yo daría un paso atrás y me aseguraría de que tienes el registro correctamente configurado antes de que ocurra un incidente. Instale Sysmon en todos los sistemas relevantes para registrar los eventos e identificar la actividad maliciosa o anómala y entender cómo operan los intrusos y el malware en su red. A continuación, exporte estos archivos de registro a su SIEM (información de seguridad y gestión de eventos).
Haga una copia de seguridad de los sistemas infectados
En el análisis forense informático no es conveniente examinar un sistema mientras está en uso, ya que esto puede contaminar las pruebas del sistema. Haga una copia de seguridad del sistema para examinar los datos de la imagen, en lugar de hacer una investigación en un sistema vivo. Utiliza herramientas como FTK Imager para hacer una copia de seguridad forense del ordenador para investigar y conservar el sistema original para preservar las pruebas.
Si está haciendo un análisis porque sospecha que ha ocurrido algo en un sistema y no está seguro de si un sistema ha sido comprometido, herramientas como PsLogList le permiten volcar el contenido de un registro de eventos en el ordenador local o en uno remoto. Sigcheck le permite comprobar el número de versión del archivo, la información de la marca de tiempo y los detalles de la firma digital, incluidas las cadenas de certificados. ListDLLs informa de las DLL cargadas en los procesos. Por último, Handle permite ver qué programa tiene abierto un determinado archivo o directorio.
Dejar una contestacion