Investigació d'Incidents
Proposta didàctica
En aquest bloc treballem la RA3: Investiga incidents de ciberseguretat analitzant les evidències digitals de manera forense i aplicant tècniques d'investigació estructurades.
Criteris d'avaluació
-
CA3.1 Recull evidències de manera segura i forense.
-
CA3.2 Analitza evidències digitals d'un incident.
-
CA3.3 Investiga un incident de ciberseguretat des del punt de vista forense.
-
CA3.4 Intercanvia informació amb tercers (CERTs, ISACs, autoritats).
-
CA3.5 Implementa mesures de contenció de l'incident.
Continguts de referència
-
Metodologia forense digital bàsica
- 1.1 Principis de la forense digital
- 1.2 Estàndards i certificacions (SANS, NIST SP 800-86)
- 1.3 Flux de treball forense
-
Recollida i preservació d'evidències
- 2.1 Ordre de volatilitat (RFC 3227)
- 2.2 Eines de recollida: dd, dcfldd, FTK Imager
- 2.3 Verificació d'integritat: hash MD5, SHA-256
- 2.4 Documentació de la recollida
-
Cadena de custòdia
- 3.1 Concepte i importància legal
- 3.2 Documents de cadena de custòdia
- 3.3 Manipulació i emmagatzematge segur
-
Anàlisi d'evidències
- 4.1 Anàlisi de logs (syslog, Windows Event Log)
- 4.2 Anàlisi de memòria amb Volatility
- 4.3 Anàlisi de fitxers i artefactes
- 4.4 Reconstrucció de la cronologia (timeline)
-
Intercanvi d'informació i contenció
- 5.1 INCIBE-CERT i CCN-CERT
- 5.2 ISACs i MISP
- 5.3 Tipus i estratègies de contenció
Programació d'aula
| Sessió | Continguts | Activitats | CAs Treballats |
|---|---|---|---|
| 41 | Principis de la forense digital. Estàndards | CA3.1 | |
| 42 | Ordre de volatilitat. RFC 3227 | CA3.1 | |
| 43 | Eines de còpia forense: dd, FTK Imager | Pràctica | CA3.1 |
| 44 | Hash i verificació d'integritat | CA3.1 | |
| 45 | Cadena de custòdia: documents i procediments | CA3.1 | |
| 46 | Anàlisi de logs Windows: Event Viewer | Pràctica | CA3.2 |
| 47 | Anàlisi de logs Linux: syslog, journald | Pràctica | CA3.2 |
| 48 | Anàlisi de memòria amb Volatility | Pràctica | CA3.2 |
| 49 | Autopsy: anàlisi de disc forense | Pràctica | CA3.2 |
| 50 | Reconstrucció de la cronologia | CA3.3 | |
| 51 | Metodologia de investigació d'incidents | CA3.3 | |
| 52 | INCIBE-CERT, CCN-CERT: canals i procediments | CA3.4 | |
| 53 | ISACs i MISP: intercanvi d'IOCs | CA3.4 | |
| 54 | Contenció: tipus, criteris i execució | CA3.5 | |
| 55-57 | Pràctica forense (imatge de disc simulada) | AC505 | CA3.1, CA3.2, CA3.3 |
| 58-60 | Projecte bloc 3 | Tots CA3.x |
1. Metodologia forense digital
Principis fonamentals
La forense digital (o informàtica forense) és la disciplina que s'ocupa de la recollida, preservació, anàlisi i presentació d'evidències digitals d'una manera que sigui legalment admissible. El terme "forense" indica la seva connexió amb els procediments legals i judicials.
El principi d'Edmond Locard (adaptat a la forense digital): "Tot intercanvi deixa una traça." Cada acció realitzada en un sistema digital deixa rastres: fitxers creats o modificats, entrades en logs, connexions de xarxa establertes, metadades d'arxius. La tasca de l'investigador forense és trobar i interpretar aquests rastres.
El principi fonamental de la forense digital: No modificar l'original. Tota la investigació s'ha de realitzar sobre còpies exactes i verificades de les evidències originals. Si un investigador modifica (ni que sigui accidentalment) les evidències originals, pot inutilitzar-les en un procés judicial i comprometre tota la investigació.
flowchart TD
A["Incident detectat"] --> B["Identificació d'escena\ni actius implicats"]
B --> C["Documentació inicial\nfotos, inventari"]
C --> D["Recollida d'evidències\nvolàtils primer"]
D --> E["Còpia forense\nbit a bit + hash"]
E --> F["Verificació d'integritat\nhash original = hash còpia"]
F --> G["Cadena de custòdia\nregistre i segellat"]
G --> H["Anàlisi sobre la còpia\nmai sobre l'original"]
H --> I["Documentació\ni informe"]
I --> J["Presentació\nd'evidències"]
Estàndards de referència
NIST SP 800-86 "Guide to Integrating Forensic Techniques into Incident Response": El document de referència del NIST per a la integració de la forense digital en la resposta a incidents. Descriu el procés de recollida, examinació, anàlisi i reportatge d'evidències.
RFC 3227 "Guidelines for Evidence Collection and Archiving": Document fonamental que estableix l'ordre de volatilitat per a la recollida d'evidències digitals.
ISO/IEC 27037: Estàndard internacional per a la identificació, recollida, adquisició i preservació d'evidències digitals.
SANS PICERL Model: Marc de resposta a incidents de SANS (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned) que integra consideracions forenses en cada fase.
2. Recollida i preservació d'evidències
L'ordre de volatilitat (RFC 3227)
Una de les decisions més importants en una investigació forense és l'ordre en que es recullen les evidències. La regla bàsica és: primer les evidències més volàtils (que desapareixeran en apagar o reiniciar el sistema), i després les menys volàtils.
L'ordre de volatilitat establert pel RFC 3227, de més a menys volàtil:
| Ordre | Font d'evidència | Volatilitat | Contingut rellevant |
|---|---|---|---|
| 1 | Registres de CPU i cache | Extremadament alta | Procesos en execució, variables |
| 2 | Memòria RAM | Molt alta | Processos, connexions, credencials en memòria, claus de xifrat |
| 3 | Estat de xarxa | Alta | Connexions actives, ports oberts, ARP cache, taules de rutes |
| 4 | Processos en execució | Alta | Llista de processos, serveis, sockets |
| 5 | Disc dur / SSD | Baixa (persisteix sense electricitat) | Fitxers, logs, registre, sistema de fitxers |
| 6 | Logs remots / SIEM | Molt baixa | Logs centralitzats, ja persistits fora del sistema |
| 7 | Suports físics externs | Molt baixa | Còpies de seguretat, arxius |
El dilema: apagar o no apagar el sistema?
Una de les decisions més difícils en la primera resposta a un incident és si apagar o no el sistema compromès. Cada opció té implicacions:
Apagar el sistema: Es perd tota la memòria RAM (molt volàtil). Es perden connexions actives, processos en execució, i potencialment claus de xifrat del ransomware actiu. Però s'atura l'atac actiu i s'evita que el malware continuï operant.
Mantenir el sistema encès: Permet capturar la memòria RAM i l'estat de la xarxa. Però el malware pot continuar operant, exfiltrant dades, o destruint evidències.
La decisió depèn de cada cas. En general: si hi ha evidències de ransomware actiu xifriant fitxers, l'apagada immediata pot salvar dades no xifrades. En qualsevol altre cas, normalment és preferible capturar primer la memòria RAM i l'estat de la xarxa, i després procedir amb la còpia forense del disc.
Eines de recollida forense
Còpia bit a bit amb dd:
dd és l'eina de còpia a nivell de blocs més bàsica i ubiqua en sistemes Unix/Linux. Crea una còpia exacta bloc per bloc d'un dispositiu, incloent l'espai no assignat, els fitxers esborrats, i els metadades del sistema de fitxers.
# Còpia forense d'un disc sencer (/dev/sdb) a un fitxer imatge
dd if=/dev/sdb of=/mnt/evidencies/disc_evidencia_NOMCOGNOM.img \
bs=512 \
conv=noerror,sync \
status=progress
# Calcular el hash SHA-256 de l'imatge resultant
sha256sum /mnt/evidencies/disc_evidencia_NOMCOGNOM.img > \
/mnt/evidencies/disc_evidencia_NOMCOGNOM.img.sha256
# Verificar que el hash de l'imatge coincideix amb el del dispositiu original
sha256sum /dev/sdb >> /mnt/evidencies/hash_original_NOMCOGNOM.txt
dcfldd (versió forense de dd):
# dcfldd permet calcular el hash mentre fa la còpia
dcfldd if=/dev/sdb \
of=/mnt/evidencies/disc_evidencia_NOMCOGNOM.img \
hash=sha256 \
hashlog=/mnt/evidencies/hash_NOMCOGNOM.txt \
bs=512
Captura de memòria RAM:
# Linux: usar LiME (Linux Memory Extractor) via mòdul del kernel
# (cal instal·lar i compilar LiME prèviament)
insmod lime.ko "path=/mnt/evidencies/ram_NOMCOGNOM.lime format=lime"
# Windows: usar WinPmem, Magnet RAM Capture, o DumpIt
# (eines gràfiques o d'una sola comanda)
winpmem.exe /mnt/evidencies/ram_NOMCOGNOM.raw
Captura d'estat de xarxa (Linux):
# Connexions actives i ports oberts
netstat -anltp > /mnt/evidencies/netstat_NOMCOGNOM.txt 2>&1
ss -anltp >> /mnt/evidencies/netstat_NOMCOGNOM.txt 2>&1
# Taula ARP (màquines a la mateixa xarxa)
arp -a > /mnt/evidencies/arp_NOMCOGNOM.txt
# Taula de rutes
route -n > /mnt/evidencies/routes_NOMCOGNOM.txt
ip route >> /mnt/evidencies/routes_NOMCOGNOM.txt
# Processos en execució
ps aux > /mnt/evidencies/processes_NOMCOGNOM.txt
Verificació d'integritat
La verificació d'integritat és el mecanisme que garanteix que les evidències no han estat modificades des de la seva recollida. S'utilitzen funcions de hash criptogràfic:
# Calcular hash SHA-256 d'una imatge
sha256sum disc_evidencia.img
# Resultat: a3f8b2c1... disc_evidencia.img
# Documentar en el registre forense:
# DATA: 2024-03-15 10:23:45 UTC
# INVESTIGADOR: Maria Garcia (DNI: 12345678X)
# DISPOSITIU ORIGINAL: Disc WD 1TB, S/N: WX42A1234567
# HASH SHA-256 ORIGINAL: a3f8b2c1e4d5f6789012345678901234567890123456789012345678901234
# HASH SHA-256 CÒPIA: a3f8b2c1e4d5f6789012345678901234567890123456789012345678901234
# COINCIDÈNCIA: SÍ ✓
Miniactivitat 3.1
Simulació de recollida d'evidències en un sistema Linux compromès:
Un servidor web Linux ha estat compromès. El sistema segueix encès. Esteu a l'escena i heu de recollir evidències per ordre de volatilitat. Per a cadascun dels passos següents, escriviu la comanda concreta que usaríeu i justifiqueu per qué és prioritari:
- Capturar la data/hora actual del sistema (per documentar el desfasament horari si n'hi ha).
- Llistar tots els processos en execució amb el seu PID, usuari i comanda completa.
- Capturar totes les connexions de xarxa actives.
- Capturar la taula ARP.
- Llistar els usuaris que han iniciat sessió recentment (
lastilastlog). - Capturar els darrers logs del sistema (
/var/log/auth.log,/var/log/syslog). - Llistar tots els fitxers modificats en les darreres 24 hores.
- Capturar l'historial de comandes de l'usuari root.
3. Cadena de custòdia
Importància legal
La cadena de custòdia és el registre documental que acredita que una evidència ha estat manipulada exclusivament per les persones autoritzades, que ha estat emmagatzemada de manera segura, i que no ha estat modificada des de la seva recollida. Sense una cadena de custòdia correctament mantinguda, les evidències poden ser impugnades i declarades inadmissibles en un procés judicial.
En el cas que l'incident acabi en un procés penal, la cadena de custòdia pot ser la diferència entre una condemna i l'absolució del presumpte atacant. Fins i tot en processos civils (reclamació d'indemnitzacions a proveïdors, disputes laborals), les evidències digitals correctament custodiades tenen un pes decisiu.
Document de cadena de custòdia
Un document de cadena de custòdia típic inclou:
DOCUMENT DE CADENA DE CUSTÒDIA
================================
INCIDENT: INC-2024-0342
DATA I HORA DE RECOLLIDA: 2024-03-15, 10:15 UTC
UBICACIÓ DE RECOLLIDA: Sala de servidors, Rack B, posició 12
Edifici central, Planta -1, c/ Gran Via 123, Barcelona
DESCRIPCIÓ DE L'EVIDÈNCIA:
Descripció: Disc dur 2,5" SATA, Western Digital Blue 1TB
Número de sèrie del fabricant: WD-WX42A1234567
Número d'inventari: SRV-DISK-0087
Sistema de fitxers: ext4 (Linux)
Hash SHA-256 (dispositiu original): [valor del hash]
FOTOGRAFIES: SI - Ref: IMG_20240315_101500 a IMG_20240315_101530 (6 fotos)
RECOLLIDA PER:
Nom: Maria Garcia López
Càrrec: Analista forense
DNI: 12.345.678-X
Empresa: Empresa de Ciberseguretat SL
Signatura: _________________ Data: 2024-03-15 10:15 UTC
EVIDÈNCIA EMMAGATZEMADA EN:
Bossa antiestàtica sellada + caixa de protecció
Etiqueta: EVIDÈNCIA FORENSE - NO OBRIR - INC-2024-0342
Ubicació d'emmagatzematge: Armari blindat B-03, CiberForense SL
Clau: Responsable: Joan Puig (SOC Manager)
TRANSFERÈNCIES DE CUSTÒDIA:
[DATA/HORA] | [DE] | [A] | [MOTIU] | [SIGNATURA LLIURAMENT] | [SIGNATURA RECEPCIÓ]
2024-03-15 14:30 UTC | M. Garcia | J. Puig (SOC) | Anàlisi laboratori | ___ | ___
2024-03-18 09:00 UTC | J. Puig | Jutjat Inst. Nº 5 BCN | Diligència judicial | ___ | ___
Emmagatzematge segur
Les evidències digitals han de ser emmagatzemades de manera que:
- Estiguin protegides contra l'accés no autoritzat (armari amb pany, sala d'accés restringit).
- Estiguin protegides contra danys físics (humitat, temperatura, camps magnètics).
- Estiguin identificades clarament (etiqueta amb número d'incident i número d'evidència).
- Els suports d'emmagatzematge estiguin en bosses antiestàtiques (per als discs).
- Existeixi un registre de totes les persones que hi han accedit i quan.
Miniactivitat 3.2
L'equip forense ha recollit les evidències següents d'un sistema compromès:
- Disc dur de 500GB del servidor de fitxers
- Memòria RAM capturada (fitxer de 16GB)
- Logs exportats del firewall (fitxer .zip de 2MB)
- Logs exportats del SIEM (fitxer .csv de 50MB)
- 3 pendrives USB trobats al servidor
Per a cadascuna de les evidències, ompliu un mini-formulari de cadena de custòdia amb: descripció, hash de verificació (podeu inventar un hash SHA-256 de 64 caràcters hexadecimals), emmagatzematge adequat, i consideracions especials.
4. Anàlisi d'evidències
Anàlisi de logs
Els logs (registres del sistema) són la font d'informació més accessible i freqüentment analitzada en una investigació d'incidents. Contenen un registre cronològic de les activitats del sistema, les autenticacions, els errors, i les accions dels usuaris.
Windows Event Log:
Windows registra els events del sistema en tres logs principals accessibles des de l'Event Viewer:
- Security: Autenticació (logon/logoff), canvis de comptes, accés a fitxers (si s'ha configurat l'auditoria).
- System: Events del propi sistema operatiu: serveis iniciats/aturats, errors de hardware.
- Application: Events de les aplicacions.
Event IDs rellevants per a la investigació:
| Event ID | Descripció | Rellevància |
|---|---|---|
| 4624 | Autenticació exitosa | Qui ha iniciat sessió, des d'on i quan |
| 4625 | Autenticació fallida | Intents de brute force |
| 4634 | Tancament de sessió | Durada de les sessions |
| 4648 | Autenticació amb credencials explícites | Pass-the-hash, RunAs |
| 4688 | Creació de nou procés | Execució de comandes (si s'ha habilitat) |
| 4720 | Creació d'un compte d'usuari | Persistència: creació de comptes backdoor |
| 4732 | Usuari afegit a grup privilegiat | Escalada de privilegis |
| 4776 | Validació de credencials NTLM | Lateral movement |
| 7045 | Nou servei instal·lat | Malware com a servei |
# Cercar autenticacions fallides de les darreres 24 hores (PowerShell)
Get-WinEvent -FilterHashtable @{
LogName = 'Security';
Id = 4625;
StartTime = (Get-Date).AddHours(-24)
} | Select-Object TimeCreated, Message | Format-List
# Exportar tots els events de seguretat a CSV per a anàlisi externa
Get-WinEvent -LogName Security |
Select-Object TimeCreated, Id, Message |
Export-Csv C:\evidencies\security_events_NOMCOGNOM.csv -NoTypeInformation
Linux syslog i journald:
# Autenticacions SSH exitoses (Debian/Ubuntu)
grep "Accepted" /var/log/auth.log
# Autenticacions SSH fallides
grep "Failed password" /var/log/auth.log
# Comandes executades per root
grep "sudo" /var/log/auth.log
# Logs del sistema (journald) - últimes 24 hores
journalctl --since "24 hours ago" > /tmp/journalctl_24h_NOMCOGNOM.txt
# Logs d'Apache/Nginx
grep "POST" /var/log/apache2/access.log | grep -v "200 "
# (POST amb codi diferent a 200 pot indicar atac web)
# Buscar IPs que han fet moltes peticions (possible DDoS o escaneig)
awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -rn | head -20
Anàlisi de memòria amb Volatility
Volatility és el framework de codi obert de referència per a l'anàlisi de memòria RAM. Permet extreure informació valuosa d'un dump de memòria sense necessitat d'executar el sistema analitzat.
# Volatility 3 (versió actual)
# Identificar el perfil del sistema (sistema operatiu i versió)
python3 vol.py -f ram_dump.lime windows.info
# Llistar processos
python3 vol.py -f ram_dump.lime windows.pslist
# Llistar processos en forma d'arbre (detectar processos fills sospitosos)
python3 vol.py -f ram_dump.lime windows.pstree
# Detectar processos amagats (rootkit detection)
python3 vol.py -f ram_dump.lime windows.psscan
# Llistar connexions de xarxa
python3 vol.py -f ram_dump.lime windows.netstat
# Extreure fitxers de la memòria
python3 vol.py -f ram_dump.lime windows.dumpfiles --pid 1234
# Buscar strings en la memòria d'un procés específic (útil per trobar credencials)
python3 vol.py -f ram_dump.lime windows.memmap --pid 1234 --dump
strings pid.1234.dmp | grep -i "password\|passwd\|credential"
Indicadors de compromís en l'anàlisi de memòria:
- Processos amb noms que imiten processos legítims (
svchost.exeamb parent incorrecte,csrss.exeen localització inusual). - Processos sense fitxer executable associat (malware sense fitxers - fileless malware).
- Connexions de xarxa a IPs o ports inusuals des de processos legítims.
- Injecció de codi: mòduls carregats en processos que no haurien de tenir-los.
Autopsy: anàlisi de disc
Autopsy és la interfície gràfica de The Sleuth Kit (TSK), un conjunt d'eines de forense digital de codi obert. Permet analitzar imatges de disc per trobar fitxers esborrats, metadades, contingut de fitxers, i generar informes.
Capacitats principals d'Autopsy:
- Recuperació de fitxers esborrats: Els fitxers esborrats no desapareixen immediatament del disc; simplement es marca l'espai com a disponible. Autopsy pot recuperar-los.
- Anàlisi de timeline: Reconstrucció cronològica de l'activitat del sistema basada en timestamps dels fitxers.
- Extracció de metadades: Data de creació, modificació i accés (MACB times), autor d'un document Word o PDF.
- Anàlisi de logs i registre: Parsejat automàtic de logs del sistema i del registre de Windows.
- Hash de fitxers: Comparació amb bases de dades de hash de malware conegut (NSRL).
- Anàlisi de la web: Historial del navegador, descàrregues, cookies.
- Cerca de paraules clau: Cerca de termes específics a tot el disc.
Reconstrucció de la cronologia (timeline)
Un dels productes més valuosos d'una investigació forense és la cronologia de l'incident: una seqüència ordenada cronològicament de tots els events rellevants, des del primer signe d'activitat maliciosa fins a la contenció.
La cronologia es construeix correlacionant múltiples fonts:
flowchart LR
A["Logs del SIEM"] --> E["CRONOLOGIA\nFUSIONADA"]
B["Logs del sistema\n(syslog, Event Log)"] --> E
C["Timestamps forenses\n(MACB, MFT)"] --> E
D["Logs de xarxa\n(firewall, proxy)"] --> E
E --> F["Informe final\nde l'incident"]
Format de cronologia:
CRONOLOGIA DE L'INCIDENT INC-2024-0342
========================================
HORA (UTC) | FONT | EVENT
--------------------|--------------|------------------------------------------
2024-03-14 22:15:03 | Firewall | Connexions de reconeixement des de 185.234.56.78
2024-03-14 22:18:45 | Proxy | Accés a un pastebin.com (posible C2 lookup)
2024-03-15 00:03:12 | SIEM | 47 intents d'autenticació RDP fallits
2024-03-15 00:47:33 | Event Log | Autenticació exitosa: svc_backup (Event 4624)
2024-03-15 00:48:01 | Event Log | Nou procés: cmd.exe (fill de svchost.exe) [ANÒMAL]
2024-03-15 00:49:22 | Event Log | Descàrrega: powershell -enc [base64 payload]
2024-03-15 00:51:05 | Event Log | Nou servei creat: "Windows Update Helper" [ANÒMAL]
2024-03-15 00:52:30 | Firewall | Connexió sortint TCP 443 -> 45.33.32.156 (IOC)
2024-03-15 01:15:00 | SIEM | Anomalia: transferència massiva de dades sortint
2024-03-15 09:27:00 | SIEM/Analista| DETECCIÓ DE L'INCIDENT - Alertes SIEM
2024-03-15 09:31:00 | SOC | Bloqueig IP 185.234.56.78 al firewall
2024-03-15 09:35:00 | SOC | Bloqueig compte svc_backup a l'AD
Miniactivitat 3.3
Basant-vos en la cronologia de l'exemple anterior (incident INC-2024-0342), responeu:
- Quant de temps va passar entre l'inici de l'activitat maliciosa i la detecció? Calculeu el MTTD (Mean Time to Detect).
- Quant de temps va passar entre la detecció i les primeres mesures de contenció? Calculeu el MTTR (Mean Time to Respond).
- Identificeu les fases de la Kill Chain presents en la cronologia.
- Durant quant de temps va tenir l'atacant accés al sistema sense ser detectat? Quines accions podria haver realitzat en aquest temps?
- Quines fonts de log addicionals haurien pogut permetre una detecció més ràpida?
5. Intercanvi d'informació i contenció
CERTs nacionals
INCIBE-CERT (Instituto Nacional de Ciberseguridad): El CERT de referència per a empreses, ciutadans i universitats a Espanya. Gestiona incidents, proporciona intel·ligència sobre amenaces, i ofereix assessorament tècnic. La línia directa d'incidències és el 017 (gratuïta).
CCN-CERT (Centro Criptológico Nacional): El CERT de la Administració Pública espanyola. Gestiona incidents que afecten administracions públiques, empreses estratègiques i operadors d'infraestructures crítiques. Disposa d'eines pròpies de detecció com el CARMEN (sistema de detecció d'amenaces avançades a les xarxes de les AAPP).
ENISA (European Union Agency for Cybersecurity): A nivell europeu, coordina la resposta a incidents transfrontereres i publica informes i guies de referència.
Xarxa de CERTs: A nivell internacional, els CERTs col·laboren a través de la xarxa FIRST (Forum of Incident Response and Security Teams) i la xarxa europea Trusted Introducer.
ISACs i MISP
Els ISACs (Information Sharing and Analysis Centers) són organitzacions sectorials que faciliten l'intercanvi d'intel·ligència sobre amenaces entre membres del mateix sector. Per exemple, el FS-ISAC per al sector financer, el H-ISAC per al sector de la salut, o el E-ISAC per al sector de l'energia.
MISP (Malware Information Sharing Platform): Plataforma de codi obert per a la compartició d'intel·ligència sobre amenaces (Threat Intelligence). Permet:
- Compartir IOCs (Indicadors de Compromís) en formats estàndard (STIX, TAXII).
- Enriquir automàticament els incidents amb context sobre les amenaces.
- Integrar-se amb TheHive i altres plataformes de gestió d'incidents.
# Desplegament de MISP amb Docker
docker run -d \
--name misp-NOMCOGNOM \
-p 8080:80 \
-p 8443:443 \
-e MYSQL_HOST=misp-db \
harvarditsecurity/misp
# Consulta de la API de MISP per obtenir IOCs recents
curl -s -H "Authorization: [API_KEY]" \
-H "Accept: application/json" \
https://misp.empresa.cat/events/index | \
python3 -m json.tool
Estratègies de contenció
La contenció busca limitar l'impacte de l'incident mentre es treballa en l'erradicació. Existeix un equilibri entre la rapidesa (contenir aviat per minimitzar danys) i la cautela (no alertar l'atacant ni destruir evidències).
Contenció a curt termini (immediata):
- Aïllament de xarxa del sistema compromès (desconnexió de la xarxa però mantenint-lo encès per poder capturar evidències).
- Bloqueig de l'IP de l'atacant al firewall perimetral.
- Bloqueig o restabliment del compte d'usuari compromès.
- Revocació de sessions actives i tokens d'autenticació.
# Aïllament d'un host Windows de la xarxa (PowerShell, executar al host)
# Bloqueig de totes les connexions de xarxa entrants i sortints
New-NetFirewallRule -DisplayName "ISOLATE-HOST" -Direction Inbound -Action Block
New-NetFirewallRule -DisplayName "ISOLATE-HOST-OUT" -Direction Outbound -Action Block
# Aïllament des del switch (si és gestionable)
# Port 24 en mode shutdown
interface GigabitEthernet0/24
shutdown
!
# Bloqueig de l'IP de l'atacant al firewall Linux (iptables)
iptables -I INPUT -s 185.234.56.78 -j DROP
iptables -I OUTPUT -d 185.234.56.78 -j DROP
Contenció a llarg termini:
- Canvi de contrasenyes de tots els comptes potencialment compromesos.
- Revisió i endureciment de les regles del firewall.
- Desplegament de signatures IDS/IPS específiques per als IOCs de l'incident.
- Implementació de monitoratge addicional als sistemes potencialment afectats.
- Comunicació interna per alertar els equips afectats.
Factors a considerar per decidir l'estratègia de contenció:
| Factor | Impacte en la decisió |
|---|---|
| Danys actuals a sistemes | Contenció immediata prioritzada |
| Necessitat de disponibilitat del servei | Pot retardar la contenció si és crític |
| Necessitat de preservar evidències | Contenció sense apagar el sistema |
| Probabilitat de l'atacant tenir persistència | Contenció més àmplia necessària |
| Possible implicació d'un insider | Cautela en la comunicació interna |
Miniactivitat 3.4
Un incident de ransomware ha estat detectat en un servidor de fitxers. El ransomware ha xifrat un 30% dels fitxers compartits i continua xifrant-ne. Teniu confirmació que el servidor afectat és el FS01 i que no s'ha detectat activitat maliciosa en cap altre sistema.
Dissenyeu el pla de contenció d'emergència per als propers 60 minuts:
- Accions dels primers 5 minuts (immediates).
- Accions dels minuts 5-20 (estabilització).
- Accions dels minuts 20-60 (anàlisi i preparació per a l'erradicació).
- Comunicacions necessàries: a qui, com i en quin ordre.
- Evidències que cal recollir ABANS de prendre les mesures de contenció.
Activitats
- AC505. (RA3 // CA3.1, CA3.2) Anàlisi forense d'una imatge de disc de pràctica (imatge Autopsy disponible en el repositori del curs). Tasques: muntatge de la imatge, recerca de fitxers esborrats, anàlisi de logs del sistema, construcció d'una cronologia, i elaboració d'un informe forense.