Recopilación de datos al responder a alertas de malware

2

Al investigar las alertas de malware, me gustaría recopilar cierta información del sistema antes de tomar la decisión de sacar el sistema de la red y volver a crear una imagen, o si es necesario más análisis forense.

Estoy imaginando un script por lotes que recopiló toda la información básica sobre el sistema (por ejemplo, conexiones de red abiertas, direcciones IP, nombre de host, usuario registrado, administradores locales, etc.) y luego realiza un volcado de memoria utilizando Memorizar o similar herramienta para su posterior análisis.

Sería más eficiente si ejecutáramos estos scripts de forma remota en lugar de conectar una unidad de disco USB a la máquina con las herramientas cargadas, pero mi preocupación es que copiar las herramientas a la máquina sospechosa modificaría el sistema de archivos y sería perjudicial para fines forenses.

¿Existen otras buenas opciones para recopilar esta información de forma remota sin comprometer los datos forenses? Soy consciente de PSexec, pero las herramientas como memorizar todavía deberán copiarse a la máquina remota. ¿Quizás poner todas las herramientas en un recurso compartido de solo lectura y redirigir los datos a la estación de trabajo de análisis con netcat o cryptcat?

¡Gracias!

    
pregunta m3ta 21.05.2015 - 22:49
fuente

1 respuesta

4

La respuesta en vivo es una práctica común y aceptada hoy. Una serie de herramientas comerciales y de código abierto pueden recopilar datos volátiles, ya que retirar el sistema de la red de forma inmediata puede ser perjudicial para la validez forense de su evidencia. La clave no es "no cambiar nada", sino más bien "poder explicar y tener documentación para cualquier cambio".

Por ejemplo, mejores prácticas SANS explicar bastante bien cómo proceder en este tipo de caso. NIST 800-86 también documenta esto en las secciones 5.1 y 5.2.

Recomiendo buscar herramientas como GRR o OSQuery . No conozco herramientas de respuesta en vivo remotas para Windows que no sean comerciales como MIR o < a href="https://www.bit9.com/solutions/carbon-black/"> Carbon Black . (No tengo ninguna afiliación con ninguna de esas herramientas u organizaciones).

    
respondido por el Kyle Maxwell 22.05.2015 - 05:39
fuente

Lea otras preguntas en las etiquetas