¿Qué es el triage DFIR? (glosario)
El triage DFIR es el examen rápido de primera pasada de un host sospechoso de estar comprometido para determinar, en minutos a unas pocas horas, si el sistema muestra evidencia de compromiso. Usa un pequeño conjunto de artefactos de alto rendimiento recolectados y parseados rápidamente, en contraste con el imaging de disco completo seguido de análisis profundo.
La forma de un buen triage:
- Recolecta un conjunto fijo de artefactos rápido.
- Parsea con herramientas establecidas que producen CSV.
- Filtra cada artefacto con el filtro canónico de triage para ese artefacto (p. ej. el "PE sin firmar en ruta escribible por usuario" de Amcache).
- Pivote por hash de cualquier cosa sospechosa contra VirusTotal e inteligencia de amenazas interna.
- Acota temporalmente la ventana del incidente con los indicadores sospechosos supervivientes.
El triage de host completo tarda minutos a horas, no días.
El conjunto estándar de artefactos de triage de Windows#
| Artefacto | Qué responde |
|---|---|
| Amcache | ¿Estuvo este binario PE presente? ¿Con qué hash y cuándo? |
| Prefetch | ¿Se ejecutó este binario PE, y cuándo? |
| Log de eventos de Seguridad (4624 / 4625 / 4648 / 4688) | ¿Quién hizo logon, quién falló, con qué credenciales? ¿Qué procesos arrancaron, con qué línea de comandos? |
| Sysmon (si está desplegado) | Telemetría en tiempo real de proceso / archivo / red / image-load. |
| Hive SYSTEM | ShimCache (binarios tocados por el loader), servicios. |
| NTUSER.DAT (por usuario) | UserAssist, RunMRU, RecentDocs. |
| Hive SOFTWARE | Auto-runs, software instalado. |
| Historial del navegador | Vector de acceso inicial para phishing / drive-by. |
| MFT reciente | Creaciones de sistema de archivos alrededor de la ventana del incidente. |
El target compuesto !SANS_Triage de KAPE recolecta este conjunto
en una invocación. Windows.Forensics.Triage de Velociraptor hace
lo mismo remotamente.
Por qué Amcache es el caballo de batalla del triage#
Tres propiedades hacen de Amcache la primera parada natural:
- Un archivo, toda la presencia de PE.
Amcache.hvecubre cada binario PE que el appraiser vio — en un solo lugar. - Hashes para VirusTotal. Búsquedas directas de SHA-1; muchas detecciones tardan segundos.
- Sobrevive al borrado. Incluso si el atacante limpió sus herramientas, Amcache mantiene la evidencia.
El filtro "PE sin firmar en ruta escribible por usuario" sobre las entradas Unassociated produce una lista pequeña por host — típicamente menos de 50 filas en una estación de trabajo infectada típica — y la mayoría de filas o coinciden con un hash de TI conocido o se explican rápidamente.
Para el playbook completo de triage impulsado por Amcache, ver Caza de malware comodín con Amcache.
Términos relacionados#
- Amcache.hve — el caballo de batalla del triage.
- Prefetch — el artefacto de evidencia de ejecución emparejado con Amcache.
- ShimCache — la cache del loader del kernel.
- SRUM — el artefacto de uso de recursos de ventana larga.
Artículos relacionados
- Caza de malware comodín con Amcache
Un playbook práctico de triage Amcache-first para malware comodín en endpoints Windows — los filtros que sacan a la luz herramientas del atacante, los pivotes que confirman ejecución y las consultas cross-host que delimitan el incidente.
- Volatility y Amcache: extraer el hive de imágenes de memoria
Una guía práctica para recuperar Amcache de una imagen de memoria de Windows usando Volatility — cuándo la recuperación del lado de memoria es la única opción, qué plugins usar y cómo entregar a AmcacheParser.
- Plugin amcache de RegRipper: qué hace y cuándo usarlo
Una guía práctica del plugin amcache de RegRipper — qué parsea, en qué se diferencia su salida de texto del CSV de AmcacheParser y cuándo recurrir a él en lugar de (o junto con) la herramienta de Zimmerman.
- ¿Qué es SRUM (SRUDB.dat)? (glosario)
SRUM es el System Resource Usage Monitor de Windows — una base de datos ESE que registra el uso de CPU, red e I/O por aplicación en bloques horarios durante 30-60 días.