CheatSheet de Lázaro - Escenarios lógicos
Selección de escenarios lógicos para estudiar y preparar una posible entrevista.
💻Análisis de logs y endpoints
1. Log Vacío
Revisas los logs de un servidor crítico y descubres un vacío de dos horas. Justo después, el sistema se reinicia. ¿Qué podría haber pasado?
Qué podría ser: Es un fuerte indicio de manipulación de logs (*log tampering*). Un atacante borró los registros para ocultar su actividad. El reinicio podría ser para finalizar la instalación de un rootkit.
2. Múltiples Alertas Antivirus
Un solo equipo genera 15 alertas de antivirus en 10 minutos para diferentes ficheros en `C:\Users\...\Temp`. ¿Qué sospechas y cuál es tu primer paso?
Qué sospechas: Es muy probable que un dropper o loader se haya ejecutado, descargando múltiples piezas de malware.
Primer paso: Aislar el equipo de la red para evitar que el malware se propague o se comunique con su C2.
3. PowerShell Sospechoso
Ves un comando de PowerShell con `Invoke-Expression` y una cadena de texto larga en Base64. ¿Qué es y qué prioridad tiene?
Qué es: Es un ataque de fileless malware. El comando ejecuta código malicioso directamente en memoria, ofuscado para evadir la detección.
Prioridad: Crítica. Es un compromiso confirmado que requiere aislamiento inmediato del host.
4. Proceso `svchost.exe`
Una alerta indica que `svchost.exe` conecta a una IP rusa, pero se ejecuta desde `C:\PerfLogs` en vez de `C:\Windows\System32`. ¿Qué significa?
Qué significa: Es una técnica de mascarada (*masquerading*). El malware se nombra igual que un proceso legítimo para pasar desapercibido. La ruta de ejecución incorrecta confirma que es malicioso.
5. Página estraña
En los logs de un servidor web IIS, ves peticiones a un fichero `.aspx` que nunca antes había sido accedido, y estas peticiones contienen comandos del sistema en sus parámetros. ¿Qué es?
Qué es: Es un webshell. Un atacante ha subido un script malicioso al servidor que le permite ejecutar comandos de forma remota. Es una brecha de seguridad crítica.
🌐Análisis de red y tráfico
6. Tráfico en Horas Inusuales
Detectas un "latido" (*heartbeat*) de datos saliendo cada 30 minutos desde un servidor hacia la misma IP externa, solo entre las 2 y 5 AM. ¿Qué podría ser?
Qué podría ser: Es una comunicación con un servidor de Comando y Control (C2). El malware "llama a casa" a intervalos regulares para recibir instrucciones. La hora es para pasar desapercibido.
7. Peticiones DNS Anómalas (DGA)
Un equipo hace miles de peticiones DNS a dominios como `ajhfgd872h.com`. ¿Qué indica este patrón?
Qué indica: Es un Algoritmo de Generación de Dominios (DGA). El malware crea dominios aleatorios esperando que uno sea su C2 activo.
8. Peticiones DNS largas
Observas peticiones DNS muy largas, con subdominios que parecen cadenas codificadas, como `A4D9...F2C1.malicious.com`. ¿Qué está pasando?
Qué está pasando: Es DNS Tunneling para exfiltrar datos. El atacante codifica información en los subdominios de las peticiones DNS para sacar datos de la red.
9. Multiples conexiones
Una IP externa intenta conectar a 15 servidores internos en más de 20 puertos distintos en menos de un minuto. ¿Qué es?
Qué es: Es la fase de reconocimiento de un ataque. La IP externa está realizando un escaneo de puertos para descubrir servicios vulnerables.
10. Diferencia entre IDS y IPS
¿Cuál es la diferencia fundamental entre una alerta de un Sistema de Detección de Intrusos (IDS) y uno de Prevención de Intrusos (IPS)?
Diferencia: Un IDS (Detección) solo detecta y alerta (pasivo). Un IPS (Prevención) detecta y puede bloquear el tráfico malicioso (activo).
✉️Análisis de correo y phishing
11. Correo Interno con Enlace Externo
Un compañero te reenvía un correo de otro compañero con un enlace a un acortador de URLs (bit.ly). ¿Cómo lo evalúas?
Evaluación: Es una señal de una cuenta de correo interna comprometida. Un atacante la usa para enviar phishing desde una fuente de confianza. Se debe contener la cuenta de inmediato.
12. Ataque de Business Email Compromise (BEC)
Recibes un aviso de que el CEO ha enviado un email al director financiero pidiendo una transferencia urgente a una cuenta nueva. ¿Qué harías?
Qué harías: Es un posible ataque de BEC. El paso más importante es la verificación fuera de banda: contactar al CEO por otro medio (una llamada telefónica) para confirmar si la petición es real. Nunca responder al email.
13. Adjunto HTML
Un email contiene un adjunto `.html` que, al abrirse, muestra una página de login de Microsoft idéntica a la real. ¿Por qué es peligroso?
Peligro: Es una técnica para evitar los filtros de URL. Como el formulario está en un fichero local (`file:///...`), no hay una URL maliciosa que el filtro de correo pueda bloquear. Las credenciales se envían al servidor del atacante.
14. Análisis de correo
¿Qué tres cosas buscarías en las cabeceras de un correo para determinar si es phishing?
1. Resultados de `SPF`, `DKIM`, `DMARC`: Si marcan `FAIL`, es una señal clara de suplantación.
2. Campo `Return-Path`: La dirección real a la que irían las respuestas. A menudo es diferente del remitente visible.
3. Campo `Received`: Muestra el origen del correo, que puede ser un servidor inesperado o de mala reputación.
🚨Incident Response y Threat Hunting
15. Alerta de Ransomware
Un EDR aísla un portátil que está cifrando ficheros masivamente. ¿Cuáles son tus siguientes tres pasos inmediatos?
1. Verificar la contención: Asegurarse de que el aislamiento de red es efectivo.
2. Deshabilitar la cuenta de usuario: Sus credenciales podrían estar comprometidas.
3. Buscar movimiento lateral: Investigar si el atacante accedió a otros recursos antes del aislamiento.
16. Intento de logins
Ves un login de administrador en 5 servidores, originado desde el portátil de un usuario de marketing. Describe el ataque.
Ataque: El atacante comprometió el equipo de marketing (vía phishing), extrajo credenciales de administrador guardadas en memoria (ej: con Mimikatz), y ahora las usa para moverse por la red (**movimiento lateral**).
17. Amenaza que reaparece
Limpias un equipo, pero dos días después, las mismas alertas reaparecen. ¿Qué no has comprobado?
Qué no se ha comprobado: El mecanismo de persistencia. El atacante dejó una "semilla" que reinstala el malware. Hay que buscar en Tareas Programadas, Servicios y claves del Registro de Windows (`Run`, `RunOnce`).
18. ¿Cómo usarías MITRE ATT&CK?
En tu día a día, ¿para qué te serviría el framework MITRE ATT&CK?
Usos: Para contextualizar alertas (entender la técnica del atacante), para hacer Threat Hunting proactivo y para evaluar la cobertura de las reglas de detección.
19. Priorización de Alertas
Tu SIEM muestra 500 alertas nuevas por la mañana. ¿Cómo decides por dónde empezar?
Priorización: Por criticidad y confianza. Primero, agrupar alertas correlacionadas. Luego, enfocarse en las de severidad alta que afecten a activos críticos (controladores de dominio, BBDD) y que provengan de fuentes fiables (EDR, IPS).
20. Credenciales en la Dark Web
Una herramienta de Threat Intelligence te alerta de que un par de credenciales de tu empresa se han encontrado en un foro de la Dark Web. ¿Qué haces?
1. Contención inmediata: Forzar el reseteo de la contraseña del usuario afectado.
2. Investigación: Revisar los logs de autenticación de esa cuenta para buscar inicios de sesión sospechosos.
3. Verificación: Comprobar si el usuario reutilizaba esa contraseña en otros servicios.