Salta el contingut

Investigació d'Incidents

Proposta didàctica

En aquest bloc treballem la RA3: Investiga incidents de ciberseguretat analitzant les evidències digitals de manera forense i aplicant tècniques d'investigació estructurades.

Criteris d'avaluació

  • CA3.1 Recull evidències de manera segura i forense.

  • CA3.2 Analitza evidències digitals d'un incident.

  • CA3.3 Investiga un incident de ciberseguretat des del punt de vista forense.

  • CA3.4 Intercanvia informació amb tercers (CERTs, ISACs, autoritats).

  • CA3.5 Implementa mesures de contenció de l'incident.

Continguts de referència

  1. Metodologia forense digital bàsica

    • 1.1 Principis de la forense digital
    • 1.2 Estàndards i certificacions (SANS, NIST SP 800-86)
    • 1.3 Flux de treball forense
  2. Recollida i preservació d'evidències

    • 2.1 Ordre de volatilitat (RFC 3227)
    • 2.2 Eines de recollida: dd, dcfldd, FTK Imager
    • 2.3 Verificació d'integritat: hash MD5, SHA-256
    • 2.4 Documentació de la recollida
  3. Cadena de custòdia

    • 3.1 Concepte i importància legal
    • 3.2 Documents de cadena de custòdia
    • 3.3 Manipulació i emmagatzematge segur
  4. Anàlisi d'evidències

    • 4.1 Anàlisi de logs (syslog, Windows Event Log)
    • 4.2 Anàlisi de memòria amb Volatility
    • 4.3 Anàlisi de fitxers i artefactes
    • 4.4 Reconstrucció de la cronologia (timeline)
  5. Intercanvi d'informació i contenció

    • 5.1 INCIBE-CERT i CCN-CERT
    • 5.2 ISACs i MISP
    • 5.3 Tipus i estratègies de contenció

Programació d'aula

Sessió Continguts Activitats CAs Treballats
41 Principis de la forense digital. Estàndards CA3.1
42 Ordre de volatilitat. RFC 3227 CA3.1
43 Eines de còpia forense: dd, FTK Imager Pràctica CA3.1
44 Hash i verificació d'integritat CA3.1
45 Cadena de custòdia: documents i procediments CA3.1
46 Anàlisi de logs Windows: Event Viewer Pràctica CA3.2
47 Anàlisi de logs Linux: syslog, journald Pràctica CA3.2
48 Anàlisi de memòria amb Volatility Pràctica CA3.2
49 Autopsy: anàlisi de disc forense Pràctica CA3.2
50 Reconstrucció de la cronologia CA3.3
51 Metodologia de investigació d'incidents CA3.3
52 INCIBE-CERT, CCN-CERT: canals i procediments CA3.4
53 ISACs i MISP: intercanvi d'IOCs CA3.4
54 Contenció: tipus, criteris i execució CA3.5
55-57 Pràctica forense (imatge de disc simulada) AC505 CA3.1, CA3.2, CA3.3
58-60 Projecte bloc 3 Tots CA3.x

1. Metodologia forense digital

Principis fonamentals

La forense digital (o informàtica forense) és la disciplina que s'ocupa de la recollida, preservació, anàlisi i presentació d'evidències digitals d'una manera que sigui legalment admissible. El terme "forense" indica la seva connexió amb els procediments legals i judicials.

El principi d'Edmond Locard (adaptat a la forense digital): "Tot intercanvi deixa una traça." Cada acció realitzada en un sistema digital deixa rastres: fitxers creats o modificats, entrades en logs, connexions de xarxa establertes, metadades d'arxius. La tasca de l'investigador forense és trobar i interpretar aquests rastres.

El principi fonamental de la forense digital: No modificar l'original. Tota la investigació s'ha de realitzar sobre còpies exactes i verificades de les evidències originals. Si un investigador modifica (ni que sigui accidentalment) les evidències originals, pot inutilitzar-les en un procés judicial i comprometre tota la investigació.

flowchart TD
    A["Incident detectat"] --> B["Identificació d'escena\ni actius implicats"]
    B --> C["Documentació inicial\nfotos, inventari"]
    C --> D["Recollida d'evidències\nvolàtils primer"]
    D --> E["Còpia forense\nbit a bit + hash"]
    E --> F["Verificació d'integritat\nhash original = hash còpia"]
    F --> G["Cadena de custòdia\nregistre i segellat"]
    G --> H["Anàlisi sobre la còpia\nmai sobre l'original"]
    H --> I["Documentació\ni informe"]
    I --> J["Presentació\nd'evidències"]

Estàndards de referència

NIST SP 800-86 "Guide to Integrating Forensic Techniques into Incident Response": El document de referència del NIST per a la integració de la forense digital en la resposta a incidents. Descriu el procés de recollida, examinació, anàlisi i reportatge d'evidències.

RFC 3227 "Guidelines for Evidence Collection and Archiving": Document fonamental que estableix l'ordre de volatilitat per a la recollida d'evidències digitals.

ISO/IEC 27037: Estàndard internacional per a la identificació, recollida, adquisició i preservació d'evidències digitals.

SANS PICERL Model: Marc de resposta a incidents de SANS (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned) que integra consideracions forenses en cada fase.


2. Recollida i preservació d'evidències

L'ordre de volatilitat (RFC 3227)

Una de les decisions més importants en una investigació forense és l'ordre en que es recullen les evidències. La regla bàsica és: primer les evidències més volàtils (que desapareixeran en apagar o reiniciar el sistema), i després les menys volàtils.

L'ordre de volatilitat establert pel RFC 3227, de més a menys volàtil:

Ordre Font d'evidència Volatilitat Contingut rellevant
1 Registres de CPU i cache Extremadament alta Procesos en execució, variables
2 Memòria RAM Molt alta Processos, connexions, credencials en memòria, claus de xifrat
3 Estat de xarxa Alta Connexions actives, ports oberts, ARP cache, taules de rutes
4 Processos en execució Alta Llista de processos, serveis, sockets
5 Disc dur / SSD Baixa (persisteix sense electricitat) Fitxers, logs, registre, sistema de fitxers
6 Logs remots / SIEM Molt baixa Logs centralitzats, ja persistits fora del sistema
7 Suports físics externs Molt baixa Còpies de seguretat, arxius

El dilema: apagar o no apagar el sistema?

Una de les decisions més difícils en la primera resposta a un incident és si apagar o no el sistema compromès. Cada opció té implicacions:

Apagar el sistema: Es perd tota la memòria RAM (molt volàtil). Es perden connexions actives, processos en execució, i potencialment claus de xifrat del ransomware actiu. Però s'atura l'atac actiu i s'evita que el malware continuï operant.

Mantenir el sistema encès: Permet capturar la memòria RAM i l'estat de la xarxa. Però el malware pot continuar operant, exfiltrant dades, o destruint evidències.

La decisió depèn de cada cas. En general: si hi ha evidències de ransomware actiu xifriant fitxers, l'apagada immediata pot salvar dades no xifrades. En qualsevol altre cas, normalment és preferible capturar primer la memòria RAM i l'estat de la xarxa, i després procedir amb la còpia forense del disc.

Eines de recollida forense

Còpia bit a bit amb dd:

dd és l'eina de còpia a nivell de blocs més bàsica i ubiqua en sistemes Unix/Linux. Crea una còpia exacta bloc per bloc d'un dispositiu, incloent l'espai no assignat, els fitxers esborrats, i els metadades del sistema de fitxers.

# Còpia forense d'un disc sencer (/dev/sdb) a un fitxer imatge
dd if=/dev/sdb of=/mnt/evidencies/disc_evidencia_NOMCOGNOM.img \
   bs=512 \
   conv=noerror,sync \
   status=progress

# Calcular el hash SHA-256 de l'imatge resultant
sha256sum /mnt/evidencies/disc_evidencia_NOMCOGNOM.img > \
          /mnt/evidencies/disc_evidencia_NOMCOGNOM.img.sha256

# Verificar que el hash de l'imatge coincideix amb el del dispositiu original
sha256sum /dev/sdb >> /mnt/evidencies/hash_original_NOMCOGNOM.txt

dcfldd (versió forense de dd):

# dcfldd permet calcular el hash mentre fa la còpia
dcfldd if=/dev/sdb \
       of=/mnt/evidencies/disc_evidencia_NOMCOGNOM.img \
       hash=sha256 \
       hashlog=/mnt/evidencies/hash_NOMCOGNOM.txt \
       bs=512

Captura de memòria RAM:

# Linux: usar LiME (Linux Memory Extractor) via mòdul del kernel
# (cal instal·lar i compilar LiME prèviament)
insmod lime.ko "path=/mnt/evidencies/ram_NOMCOGNOM.lime format=lime"

# Windows: usar WinPmem, Magnet RAM Capture, o DumpIt
# (eines gràfiques o d'una sola comanda)
winpmem.exe /mnt/evidencies/ram_NOMCOGNOM.raw

Captura d'estat de xarxa (Linux):

# Connexions actives i ports oberts
netstat -anltp > /mnt/evidencies/netstat_NOMCOGNOM.txt 2>&1
ss -anltp >> /mnt/evidencies/netstat_NOMCOGNOM.txt 2>&1

# Taula ARP (màquines a la mateixa xarxa)
arp -a > /mnt/evidencies/arp_NOMCOGNOM.txt

# Taula de rutes
route -n > /mnt/evidencies/routes_NOMCOGNOM.txt
ip route >> /mnt/evidencies/routes_NOMCOGNOM.txt

# Processos en execució
ps aux > /mnt/evidencies/processes_NOMCOGNOM.txt

Verificació d'integritat

La verificació d'integritat és el mecanisme que garanteix que les evidències no han estat modificades des de la seva recollida. S'utilitzen funcions de hash criptogràfic:

# Calcular hash SHA-256 d'una imatge
sha256sum disc_evidencia.img
# Resultat: a3f8b2c1... disc_evidencia.img

# Documentar en el registre forense:
# DATA: 2024-03-15 10:23:45 UTC
# INVESTIGADOR: Maria Garcia (DNI: 12345678X)
# DISPOSITIU ORIGINAL: Disc WD 1TB, S/N: WX42A1234567
# HASH SHA-256 ORIGINAL: a3f8b2c1e4d5f6789012345678901234567890123456789012345678901234
# HASH SHA-256 CÒPIA: a3f8b2c1e4d5f6789012345678901234567890123456789012345678901234
# COINCIDÈNCIA: SÍ ✓

Miniactivitat 3.1

Simulació de recollida d'evidències en un sistema Linux compromès:

Un servidor web Linux ha estat compromès. El sistema segueix encès. Esteu a l'escena i heu de recollir evidències per ordre de volatilitat. Per a cadascun dels passos següents, escriviu la comanda concreta que usaríeu i justifiqueu per qué és prioritari:

  1. Capturar la data/hora actual del sistema (per documentar el desfasament horari si n'hi ha).
  2. Llistar tots els processos en execució amb el seu PID, usuari i comanda completa.
  3. Capturar totes les connexions de xarxa actives.
  4. Capturar la taula ARP.
  5. Llistar els usuaris que han iniciat sessió recentment (last i lastlog).
  6. Capturar els darrers logs del sistema (/var/log/auth.log, /var/log/syslog).
  7. Llistar tots els fitxers modificats en les darreres 24 hores.
  8. Capturar l'historial de comandes de l'usuari root.

3. Cadena de custòdia

La cadena de custòdia és el registre documental que acredita que una evidència ha estat manipulada exclusivament per les persones autoritzades, que ha estat emmagatzemada de manera segura, i que no ha estat modificada des de la seva recollida. Sense una cadena de custòdia correctament mantinguda, les evidències poden ser impugnades i declarades inadmissibles en un procés judicial.

En el cas que l'incident acabi en un procés penal, la cadena de custòdia pot ser la diferència entre una condemna i l'absolució del presumpte atacant. Fins i tot en processos civils (reclamació d'indemnitzacions a proveïdors, disputes laborals), les evidències digitals correctament custodiades tenen un pes decisiu.

Document de cadena de custòdia

Un document de cadena de custòdia típic inclou:

DOCUMENT DE CADENA DE CUSTÒDIA
================================
INCIDENT: INC-2024-0342
DATA I HORA DE RECOLLIDA: 2024-03-15, 10:15 UTC
UBICACIÓ DE RECOLLIDA: Sala de servidors, Rack B, posició 12
                        Edifici central, Planta -1, c/ Gran Via 123, Barcelona

DESCRIPCIÓ DE L'EVIDÈNCIA:
  Descripció: Disc dur 2,5" SATA, Western Digital Blue 1TB
  Número de sèrie del fabricant: WD-WX42A1234567
  Número d'inventari: SRV-DISK-0087
  Sistema de fitxers: ext4 (Linux)
  Hash SHA-256 (dispositiu original): [valor del hash]

FOTOGRAFIES: SI - Ref: IMG_20240315_101500 a IMG_20240315_101530 (6 fotos)

RECOLLIDA PER:
  Nom: Maria Garcia López
  Càrrec: Analista forense
  DNI: 12.345.678-X
  Empresa: Empresa de Ciberseguretat SL
  Signatura: _________________ Data: 2024-03-15 10:15 UTC

EVIDÈNCIA EMMAGATZEMADA EN:
  Bossa antiestàtica sellada + caixa de protecció
  Etiqueta: EVIDÈNCIA FORENSE - NO OBRIR - INC-2024-0342
  Ubicació d'emmagatzematge: Armari blindat B-03, CiberForense SL
                              Clau: Responsable: Joan Puig (SOC Manager)

TRANSFERÈNCIES DE CUSTÒDIA:
  [DATA/HORA] | [DE] | [A] | [MOTIU] | [SIGNATURA LLIURAMENT] | [SIGNATURA RECEPCIÓ]
  2024-03-15 14:30 UTC | M. Garcia | J. Puig (SOC) | Anàlisi laboratori | ___ | ___
  2024-03-18 09:00 UTC | J. Puig | Jutjat Inst. Nº 5 BCN | Diligència judicial | ___ | ___

Emmagatzematge segur

Les evidències digitals han de ser emmagatzemades de manera que:

  • Estiguin protegides contra l'accés no autoritzat (armari amb pany, sala d'accés restringit).
  • Estiguin protegides contra danys físics (humitat, temperatura, camps magnètics).
  • Estiguin identificades clarament (etiqueta amb número d'incident i número d'evidència).
  • Els suports d'emmagatzematge estiguin en bosses antiestàtiques (per als discs).
  • Existeixi un registre de totes les persones que hi han accedit i quan.

Miniactivitat 3.2

L'equip forense ha recollit les evidències següents d'un sistema compromès:

  • Disc dur de 500GB del servidor de fitxers
  • Memòria RAM capturada (fitxer de 16GB)
  • Logs exportats del firewall (fitxer .zip de 2MB)
  • Logs exportats del SIEM (fitxer .csv de 50MB)
  • 3 pendrives USB trobats al servidor

Per a cadascuna de les evidències, ompliu un mini-formulari de cadena de custòdia amb: descripció, hash de verificació (podeu inventar un hash SHA-256 de 64 caràcters hexadecimals), emmagatzematge adequat, i consideracions especials.


4. Anàlisi d'evidències

Anàlisi de logs

Els logs (registres del sistema) són la font d'informació més accessible i freqüentment analitzada en una investigació d'incidents. Contenen un registre cronològic de les activitats del sistema, les autenticacions, els errors, i les accions dels usuaris.

Windows Event Log:

Windows registra els events del sistema en tres logs principals accessibles des de l'Event Viewer:

  • Security: Autenticació (logon/logoff), canvis de comptes, accés a fitxers (si s'ha configurat l'auditoria).
  • System: Events del propi sistema operatiu: serveis iniciats/aturats, errors de hardware.
  • Application: Events de les aplicacions.

Event IDs rellevants per a la investigació:

Event ID Descripció Rellevància
4624 Autenticació exitosa Qui ha iniciat sessió, des d'on i quan
4625 Autenticació fallida Intents de brute force
4634 Tancament de sessió Durada de les sessions
4648 Autenticació amb credencials explícites Pass-the-hash, RunAs
4688 Creació de nou procés Execució de comandes (si s'ha habilitat)
4720 Creació d'un compte d'usuari Persistència: creació de comptes backdoor
4732 Usuari afegit a grup privilegiat Escalada de privilegis
4776 Validació de credencials NTLM Lateral movement
7045 Nou servei instal·lat Malware com a servei
# Cercar autenticacions fallides de les darreres 24 hores (PowerShell)
Get-WinEvent -FilterHashtable @{
    LogName = 'Security';
    Id = 4625;
    StartTime = (Get-Date).AddHours(-24)
} | Select-Object TimeCreated, Message | Format-List

# Exportar tots els events de seguretat a CSV per a anàlisi externa
Get-WinEvent -LogName Security |
    Select-Object TimeCreated, Id, Message |
    Export-Csv C:\evidencies\security_events_NOMCOGNOM.csv -NoTypeInformation

Linux syslog i journald:

# Autenticacions SSH exitoses (Debian/Ubuntu)
grep "Accepted" /var/log/auth.log

# Autenticacions SSH fallides
grep "Failed password" /var/log/auth.log

# Comandes executades per root
grep "sudo" /var/log/auth.log

# Logs del sistema (journald) - últimes 24 hores
journalctl --since "24 hours ago" > /tmp/journalctl_24h_NOMCOGNOM.txt

# Logs d'Apache/Nginx
grep "POST" /var/log/apache2/access.log | grep -v "200 "
# (POST amb codi diferent a 200 pot indicar atac web)

# Buscar IPs que han fet moltes peticions (possible DDoS o escaneig)
awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -rn | head -20

Anàlisi de memòria amb Volatility

Volatility és el framework de codi obert de referència per a l'anàlisi de memòria RAM. Permet extreure informació valuosa d'un dump de memòria sense necessitat d'executar el sistema analitzat.

# Volatility 3 (versió actual)
# Identificar el perfil del sistema (sistema operatiu i versió)
python3 vol.py -f ram_dump.lime windows.info

# Llistar processos
python3 vol.py -f ram_dump.lime windows.pslist

# Llistar processos en forma d'arbre (detectar processos fills sospitosos)
python3 vol.py -f ram_dump.lime windows.pstree

# Detectar processos amagats (rootkit detection)
python3 vol.py -f ram_dump.lime windows.psscan

# Llistar connexions de xarxa
python3 vol.py -f ram_dump.lime windows.netstat

# Extreure fitxers de la memòria
python3 vol.py -f ram_dump.lime windows.dumpfiles --pid 1234

# Buscar strings en la memòria d'un procés específic (útil per trobar credencials)
python3 vol.py -f ram_dump.lime windows.memmap --pid 1234 --dump
strings pid.1234.dmp | grep -i "password\|passwd\|credential"

Indicadors de compromís en l'anàlisi de memòria:

  • Processos amb noms que imiten processos legítims (svchost.exe amb parent incorrecte, csrss.exe en localització inusual).
  • Processos sense fitxer executable associat (malware sense fitxers - fileless malware).
  • Connexions de xarxa a IPs o ports inusuals des de processos legítims.
  • Injecció de codi: mòduls carregats en processos que no haurien de tenir-los.

Autopsy: anàlisi de disc

Autopsy és la interfície gràfica de The Sleuth Kit (TSK), un conjunt d'eines de forense digital de codi obert. Permet analitzar imatges de disc per trobar fitxers esborrats, metadades, contingut de fitxers, i generar informes.

Capacitats principals d'Autopsy:

  • Recuperació de fitxers esborrats: Els fitxers esborrats no desapareixen immediatament del disc; simplement es marca l'espai com a disponible. Autopsy pot recuperar-los.
  • Anàlisi de timeline: Reconstrucció cronològica de l'activitat del sistema basada en timestamps dels fitxers.
  • Extracció de metadades: Data de creació, modificació i accés (MACB times), autor d'un document Word o PDF.
  • Anàlisi de logs i registre: Parsejat automàtic de logs del sistema i del registre de Windows.
  • Hash de fitxers: Comparació amb bases de dades de hash de malware conegut (NSRL).
  • Anàlisi de la web: Historial del navegador, descàrregues, cookies.
  • Cerca de paraules clau: Cerca de termes específics a tot el disc.

Reconstrucció de la cronologia (timeline)

Un dels productes més valuosos d'una investigació forense és la cronologia de l'incident: una seqüència ordenada cronològicament de tots els events rellevants, des del primer signe d'activitat maliciosa fins a la contenció.

La cronologia es construeix correlacionant múltiples fonts:

flowchart LR
    A["Logs del SIEM"] --> E["CRONOLOGIA\nFUSIONADA"]
    B["Logs del sistema\n(syslog, Event Log)"] --> E
    C["Timestamps forenses\n(MACB, MFT)"] --> E
    D["Logs de xarxa\n(firewall, proxy)"] --> E
    E --> F["Informe final\nde l'incident"]

Format de cronologia:

CRONOLOGIA DE L'INCIDENT INC-2024-0342
========================================
HORA (UTC)          | FONT         | EVENT
--------------------|--------------|------------------------------------------
2024-03-14 22:15:03 | Firewall     | Connexions de reconeixement des de 185.234.56.78
2024-03-14 22:18:45 | Proxy        | Accés a un pastebin.com (posible C2 lookup)
2024-03-15 00:03:12 | SIEM         | 47 intents d'autenticació RDP fallits
2024-03-15 00:47:33 | Event Log    | Autenticació exitosa: svc_backup (Event 4624)
2024-03-15 00:48:01 | Event Log    | Nou procés: cmd.exe (fill de svchost.exe) [ANÒMAL]
2024-03-15 00:49:22 | Event Log    | Descàrrega: powershell -enc [base64 payload]
2024-03-15 00:51:05 | Event Log    | Nou servei creat: "Windows Update Helper" [ANÒMAL]
2024-03-15 00:52:30 | Firewall     | Connexió sortint TCP 443 -> 45.33.32.156 (IOC)
2024-03-15 01:15:00 | SIEM         | Anomalia: transferència massiva de dades sortint
2024-03-15 09:27:00 | SIEM/Analista| DETECCIÓ DE L'INCIDENT - Alertes SIEM
2024-03-15 09:31:00 | SOC          | Bloqueig IP 185.234.56.78 al firewall
2024-03-15 09:35:00 | SOC          | Bloqueig compte svc_backup a l'AD

Miniactivitat 3.3

Basant-vos en la cronologia de l'exemple anterior (incident INC-2024-0342), responeu:

  1. Quant de temps va passar entre l'inici de l'activitat maliciosa i la detecció? Calculeu el MTTD (Mean Time to Detect).
  2. Quant de temps va passar entre la detecció i les primeres mesures de contenció? Calculeu el MTTR (Mean Time to Respond).
  3. Identificeu les fases de la Kill Chain presents en la cronologia.
  4. Durant quant de temps va tenir l'atacant accés al sistema sense ser detectat? Quines accions podria haver realitzat en aquest temps?
  5. Quines fonts de log addicionals haurien pogut permetre una detecció més ràpida?

5. Intercanvi d'informació i contenció

CERTs nacionals

INCIBE-CERT (Instituto Nacional de Ciberseguridad): El CERT de referència per a empreses, ciutadans i universitats a Espanya. Gestiona incidents, proporciona intel·ligència sobre amenaces, i ofereix assessorament tècnic. La línia directa d'incidències és el 017 (gratuïta).

CCN-CERT (Centro Criptológico Nacional): El CERT de la Administració Pública espanyola. Gestiona incidents que afecten administracions públiques, empreses estratègiques i operadors d'infraestructures crítiques. Disposa d'eines pròpies de detecció com el CARMEN (sistema de detecció d'amenaces avançades a les xarxes de les AAPP).

ENISA (European Union Agency for Cybersecurity): A nivell europeu, coordina la resposta a incidents transfrontereres i publica informes i guies de referència.

Xarxa de CERTs: A nivell internacional, els CERTs col·laboren a través de la xarxa FIRST (Forum of Incident Response and Security Teams) i la xarxa europea Trusted Introducer.

ISACs i MISP

Els ISACs (Information Sharing and Analysis Centers) són organitzacions sectorials que faciliten l'intercanvi d'intel·ligència sobre amenaces entre membres del mateix sector. Per exemple, el FS-ISAC per al sector financer, el H-ISAC per al sector de la salut, o el E-ISAC per al sector de l'energia.

MISP (Malware Information Sharing Platform): Plataforma de codi obert per a la compartició d'intel·ligència sobre amenaces (Threat Intelligence). Permet:

  • Compartir IOCs (Indicadors de Compromís) en formats estàndard (STIX, TAXII).
  • Enriquir automàticament els incidents amb context sobre les amenaces.
  • Integrar-se amb TheHive i altres plataformes de gestió d'incidents.
# Desplegament de MISP amb Docker
docker run -d \
  --name misp-NOMCOGNOM \
  -p 8080:80 \
  -p 8443:443 \
  -e MYSQL_HOST=misp-db \
  harvarditsecurity/misp

# Consulta de la API de MISP per obtenir IOCs recents
curl -s -H "Authorization: [API_KEY]" \
     -H "Accept: application/json" \
     https://misp.empresa.cat/events/index | \
     python3 -m json.tool

Estratègies de contenció

La contenció busca limitar l'impacte de l'incident mentre es treballa en l'erradicació. Existeix un equilibri entre la rapidesa (contenir aviat per minimitzar danys) i la cautela (no alertar l'atacant ni destruir evidències).

Contenció a curt termini (immediata):

  • Aïllament de xarxa del sistema compromès (desconnexió de la xarxa però mantenint-lo encès per poder capturar evidències).
  • Bloqueig de l'IP de l'atacant al firewall perimetral.
  • Bloqueig o restabliment del compte d'usuari compromès.
  • Revocació de sessions actives i tokens d'autenticació.
# Aïllament d'un host Windows de la xarxa (PowerShell, executar al host)
# Bloqueig de totes les connexions de xarxa entrants i sortints
New-NetFirewallRule -DisplayName "ISOLATE-HOST" -Direction Inbound -Action Block
New-NetFirewallRule -DisplayName "ISOLATE-HOST-OUT" -Direction Outbound -Action Block

# Aïllament des del switch (si és gestionable)
# Port 24 en mode shutdown
interface GigabitEthernet0/24
 shutdown
!

# Bloqueig de l'IP de l'atacant al firewall Linux (iptables)
iptables -I INPUT -s 185.234.56.78 -j DROP
iptables -I OUTPUT -d 185.234.56.78 -j DROP

Contenció a llarg termini:

  • Canvi de contrasenyes de tots els comptes potencialment compromesos.
  • Revisió i endureciment de les regles del firewall.
  • Desplegament de signatures IDS/IPS específiques per als IOCs de l'incident.
  • Implementació de monitoratge addicional als sistemes potencialment afectats.
  • Comunicació interna per alertar els equips afectats.

Factors a considerar per decidir l'estratègia de contenció:

Factor Impacte en la decisió
Danys actuals a sistemes Contenció immediata prioritzada
Necessitat de disponibilitat del servei Pot retardar la contenció si és crític
Necessitat de preservar evidències Contenció sense apagar el sistema
Probabilitat de l'atacant tenir persistència Contenció més àmplia necessària
Possible implicació d'un insider Cautela en la comunicació interna

Miniactivitat 3.4

Un incident de ransomware ha estat detectat en un servidor de fitxers. El ransomware ha xifrat un 30% dels fitxers compartits i continua xifrant-ne. Teniu confirmació que el servidor afectat és el FS01 i que no s'ha detectat activitat maliciosa en cap altre sistema.

Dissenyeu el pla de contenció d'emergència per als propers 60 minuts:

  1. Accions dels primers 5 minuts (immediates).
  2. Accions dels minuts 5-20 (estabilització).
  3. Accions dels minuts 20-60 (anàlisi i preparació per a l'erradicació).
  4. Comunicacions necessàries: a qui, com i en quin ordre.
  5. Evidències que cal recollir ABANS de prendre les mesures de contenció.

Activitats

  • AC505. (RA3 // CA3.1, CA3.2) Anàlisi forense d'una imatge de disc de pràctica (imatge Autopsy disponible en el repositori del curs). Tasques: muntatge de la imatge, recerca de fitxers esborrats, anàlisi de logs del sistema, construcció d'una cronologia, i elaboració d'un informe forense.