¿Qué es el triage DFIR? (glosario)
El triage es la pasada rápida. Veinte hosts volvieron de un barrido y la pregunta es cuáles reciben una investigación completa. No tienes tiempo de imagear y hacer timeline a los veinte. Recoges un set pequeño y fijo de artefactos, los parseas, corres dos o tres filtros canónicos y produces un sí/no por host con suficientes pruebas para defender la decisión.
Ese es todo el sentido. Bien hecho, lleva minutos por host. Mal hecho, produce falsa confianza en cualquier dirección y te enteras tres semanas después.
Cómo se ve un buen triage#
- Recoger un set fijo rápido. KAPE
!SANS_Triage, VelociraptorWindows.Forensics.Triageo tu equivalente interno. - Parsear con herramientas que produzcan CSV. Sobre todo la suite de Eric Zimmerman.
- Aplicar el filtro canónico para cada artefacto. Para Amcache es "PE sin firmar en ruta escribible por usuario con
IsPeFile = True". - Hacer pivote por hash a todo lo que sobreviva el filtro. VirusTotal, feed interno de TI, plataforma de threat intel.
- Acotar en el tiempo a los supervivientes. Sacar una ventana de actividad alrededor de su
KeyLastWriteTimestamp.
El kit estándar de Windows#
| Artefacto | La pregunta que responde |
|---|---|
| Amcache | ¿Estuvo este PE presente, con qué hash y cuándo? |
| Prefetch | ¿Se ejecutó de verdad, y cuándo? |
| Log de eventos de Security (EVTX) | Quién entró, quién falló, qué procesos arrancaron con qué línea de comandos. |
| Sysmon | Proceso, archivo, red, carga de imagen en tiempo real. |
| Hive SYSTEM | Shimcache, servicios, autostarts. |
| NTUSER.DAT | UserAssist, RunMRU, RecentDocs, shellbags. |
| Hive SOFTWARE | Autoruns, software instalado. |
| Historial de navegador | Vector de acceso inicial para phishing o drive-by. |
| MFT / USN recientes | Creaciones de filesystem alrededor de la ventana sospechosa. |
Por qué Amcache se gana su sitio al frente#
Tres razones. Es un archivo. Lleva hashes que puedes enviar directamente a VirusTotal. Sobrevive al borrado del binario mejor que cualquier otra cosa del set. El filtro "PE sin firmar en ruta escribible por usuario" sobre UnassociatedFileEntries.csv típicamente devuelve menos de 50 filas en una workstation infectada típica, y la mayoría se encienden con un lookup de TI o tienen una explicación benigna obvia (apps portables, herramientas de dev).
Para el playbook completo de triage dirigido por Amcache, ve Cazar malware commodity con Amcache.
Términos relacionados#
Artículos relacionados
- ¿Qué es SRUM (SRUDB.dat)? (glosario)
SRUM es la base ESE que Windows usa para registrar el uso de recursos por aplicación, por hora, durante 30-60 días. El único artefacto Windows con totales de bytes de red por aplicación. Crítico para exfiltración.
- ¿Qué es Shimcache (AppCompatCache)? (glosario)
Shimcache es la caché del loader mantenida por el kernel en la hive SYSTEM. 1024 entradas, sin hash, obsoleta hasta el reinicio. Diferente de Amcache; empareja ambos.
- ¿Qué es Amcache ProgramId? (glosario)
ProgramId es el hash de identidad de aplicación de 44 caracteres que almacena Amcache. Estable entre hosts para la misma instalación. Atrapa recompilaciones y renombrados que Hash se pierde.
- ¿Qué es Windows Prefetch? (glosario)
Windows Prefetch es el directorio de ficheros .pf que prueba ejecución. Hasta 8-10 tiempos de ejecución por binario más los ficheros cargados en los primeros diez segundos. La evidencia de ejecución más fuerte de Windows.