← Volver al inicio

Playbook: Malware en Endpoint

Objetivo

Investigar endpoint con posible malware.

Seguridad del Analista

  • No ejecutes muestras en tu maquina principal.
  • No abras adjuntos sospechosos directamente.
  • Preserva evidencia antes de limpiar si es posible.
  • Usa herramientas autorizadas y entorno controlado.

Severidad Inicial

Sube severidad si:

  • hay comportamiento de ransomware;
  • hay comunicacion externa sospechosa;
  • el host es critico;
  • el usuario tiene privilegios;
  • hay movimiento lateral;
  • hay exfiltracion.

Señales

  • Alerta EDR.
  • Proceso sospechoso.
  • Conexion a dominio raro.
  • Archivo detectado.
  • Persistencia.
  • Comportamiento anomalo.

Evidencia

  • Hostname.
  • Usuario.
  • Proceso.
  • Parent process.
  • Command line.
  • Hash.
  • Ruta de archivo.
  • Conexiones de red.
  • Hora.

Primeros 15 Minutos

  1. Confirmar host y usuario.
  2. Revisar alerta original.
  3. Identificar proceso, hash y ruta.
  4. Revisar conexiones activas.
  5. Aislar endpoint si hay riesgo activo.
  6. Preservar evidencia clave.

Pasos

  1. Confirmar alerta.
  2. Identificar host y usuario.
  3. Revisar proceso y parent process.
  4. Calcular hash si es seguro.
  5. Revisar conexiones.
  6. Buscar persistencia.
  7. Aislar equipo si hay riesgo activo.
  8. Preservar evidencia.
  9. Erradicar y recuperar.

Datos Que Conviene Conservar

En un caso de malware endpoint conviene conservar hostname, usuario afectado, proceso observado, proceso padre, hash, ruta de archivo, conexiones externas, hora del evento y acciones tomadas. Estos datos permiten reconstruir la secuencia sin depender de memoria ni destruir contexto durante la contencion. | Hash | | | Ruta | | | IP/Dominio | | | Hora | |

Contencion

  • Aislar endpoint.
  • Bloquear hash/dominio/IP.
  • Deshabilitar cuenta si aplica.
  • Cortar comunicacion C2 si existe.

Erradicacion

  • Eliminar archivo o proceso segun herramienta aprobada.
  • Quitar persistencia.
  • Parchar causa si aplica.
  • Rotar credenciales afectadas.
  • Reinstalar si no hay confianza suficiente.

Recuperacion

  • Validar EDR activo.
  • Confirmar que no reaparece persistencia.
  • Monitorear conexiones.
  • Reincorporar endpoint solo si esta limpio.

Lecciones

  • Crear deteccion.
  • Revisar controles preventivos.
  • Validar EDR activo.

Cierre

Puedes cerrar cuando:

  • endpoint limpio o reconstruido;
  • persistencia eliminada;
  • IOCs bloqueados;
  • credenciales rotadas si aplica;
  • causa documentada;
  • deteccion mejorada.

En esta página