# Gestión de Incidentes Público

Base de conocimiento público que contiene guías, procedimientos y técnicas de respuesta a incidentes informáticos

# Código malicioso

Capítulo destinado a acciones de respuesta ante incidentes de malware

# Wordpress comprometido

### Revisión Online

Verificar que no tenga instalado malware:

- [https://www.virustotal.com/#/home/upload](https://www.virustotal.com/#/home/upload)
- [https://sitecheck.sucuri.net/](https://sitecheck.sucuri.net/)

Verificar con herramientas de google el grado de compromiso del sitio:

- [https://transparencyreport.google.com/safe-browsing/overview](https://transparencyreport.google.com/safe-browsing/overview)
- [https://www.youtube.com/watch?v=lG5lOix9b9k](https://www.youtube.com/watch?v=lG5lOix9b9k)

Es necesario acceder a la consola de búsqueda de google:

- [https://search.google.com/search-console/welcome](https://search.google.com/search-console/welcome)

Para verificar enlaces comprometidos, obtener el contenido en línea, recuperar posible código malicioso.

Coordinación con el RSI

- Solicitar al RSI que no debe eliminar ningún archivo ni realice cambio s en la base de datos.
- Si el sitio web sufrió un defacement solicitar al RSI que mueva los archivos de la instalación wordpress a otra ruta que no sea accesible desde el servidor web. Ej. /homve/\[USUARIO\] y que establezca un sitio web temporal mientras dure la investigación.
- Solicitar los archivos de la instalación de wordpress.
- Solicitar el envió del backup de la base de datos.
- Solicitar el envió de los logs del servidor web.

### Revisión Offline

#### 1. Comprobar la integridad de los archivos WordPress (Core y Plugins)

- Descargar la versión de wordpress que se tiene instalada de [https://wordpress.org/download/releases/](https://wordpress.org/download/releases/)

```
diff -r wordpress_Instalado wordpress_descargado
```

- De manera similar proceder con los plugins y themes.
- Alternativamente se puede usar:

```
wp core verify-checksums --allow-root
```

#### 2. Buscando patrones de cadena maliciosos:

##### 2.1. Buscar webshells/backdoors en el sistema de archivos

##### 2.1.1. Usando GREP

Guardar en el archivo pattern.txt

```bash
eval($_REQUEST
eval($_GET
eval($_POST
eval(
$GLOBALS[
$strrev('dedoce
base64_decode
str_replace
preg_replace
gzinflate
$f53[
hacked
FilesMan
\x73\x74\x72\x5f
str_rot13
Location:
google.com
bing.com
```

Ejecutar el comando:

```
fgrep -rf pattern.txt folderInstalacion | egrep -iv "\.js|\.css|\.po|\.html|Binary" > resultado.txt
```

Eliminar los falsos positivos.

Otros patrones sospechosos (ejecutar dentro del directorio principal):

```bash
grep -r '\\x' * | egrep -iv "\.gif|\.js|\.png|\#|entities" 
grep -r '\\057' * | egrep -iv "\.gif|\.js|\.png|\#|binary|Crypto|zip|case|elseif|ChaCha|\\x00|pie|escaper"
```

##### 2.1.2. Usando la herramienta webshell-scanner-client

Descargar e instalar webshell-scanner-client

```bash
wget https://github.com/baidu-security/webshell-scanner-client/releases/download/v1.0/webdir-linux32.bin
sudo mv webdir-linux32.bin /usr/bin/webshell-scanner-client
sudo chmod a+x /usr/bin/webshell-scanner-client
```

Escanear un archivo

```bash
webshell-scanner-client.bin archivo.php- 
Solicitar al RSI que mueva los archivos de la instalacion wordpress a otra ruta que no sea accesible desde el servidor web.
Ej: /home/[USUARIO]
```

##### 2.1.3. Usando la herramienta webshell-scan

Descargar e instalar webshell-scan:

```bash
git clone https://github.com/tstillz/webshell-scan
go build main.go
sudo mv main /usr/bin/webshell-scan
```

Escanear en busca de webshells con extensión en php:

```bash
webshell-scan -dir . -exts php
```

##### 2.1.4. Usando findbot

Instalación:

```bash
wget https://raw.githubusercontent.com/wellr00t3d/findbot.pl/master/findbot.pl
chmod a+x findbot.pl
sudo mv findbot.pl /usr/bin
```

Buscar archivos maliciosos:

```bash
findbot.pl directorio
```

### Verificando archivos de wordpress

- .htaccess
- wp-config.php
- Revisar los archivos functions.php

```bash
find . -iname "functions.php"
```

- Verificar que archivos se han modificado recientemente:

```bash
find . -type f -printf "%-.22T+ %M %n %-8u %-8g %8s %Tx %.8TX %p\n" | sort | cut -f 2- -d ' '
```

### Escanear el servidor en busca de códigos maliciosos en los archivos

Buscar código malicioso en archivos y carpetas de WordPress:

```bash
find wp-includes -iname "*.php"
find wp-content/uploads -name "*.php" -print
```

### Escanear la base de datos en busca de códigos maliciosos

- Descargar un back de la base de datos "backup.sql"
- Guardar en el archivo pattern.txt

```html
<script>
eval
base64_decode
gzinflate
preg_replace
str_rot13
```

- Ejecutar el comando:

```bash
fgrep -rf pattern.txt backup.sql > resultado.txt
```

- Eliminar los falsos positivos.

### Detección de cuentas de administrador falsas

Encuentre y elimine nuevos usuarios administradores o cuentas FTP que no ha creado.

#### Restauración del stitio:

- Eliminar los backdoors identificados y restaurar el sitio web con los archivos antiguos.
- Borrar themes no usados.
- Borrar plugins no usados.
- Actualizar el core, theme y plugins.
- Instalar el plugin WP Hardening ([https://wordpress.org/plugins/wp-security-hardening/)](https://wordpress.org/plugins/wp-security-hardening/))
- Cambiar la contraseña de los usuarios de : 
    - WordPress
    - Base de datos
    - Hosting/Cpanel

#### Herramientas

[https://malwaredecoder.com](https://malwaredecoder.com)

### Anexos

Instalar wp-cli y checksum:

```bash
curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
chmod +x wp-cli.phar
sudo mv wp-cli.phar /usr/local/bin/wp
wp package install git@github.com:wp-cli/checksum-command.git --allow-root
```

# SEO Japonés



# Joomla comprometido

#### Revisiones Online

Verificar que no tenga instalado malware:

- [https://www.virustotal.com/#/home/upload](https://www.virustotal.com/#/home/upload)
- [https://sitecheck.sucuri.net/](https://sitecheck.sucuri.net/)
- [https://transparencyreport.google.com/safe-browsing/search](https://transparencyreport.google.com/safe-browsing/search)

#### Coordinación con el RSI

- Solicitar al RSI que no debe elimine ningun archivo ni realize cambios en la base de datos
- Si es un incidente de defacement, solicitar al RSI que establezca un sitio web temporal mientras dure la investigacion. En el archivo configuration.php configurar la variable $offline = ‘1’;
- Solicitar los archivos de la instalacion de jomla
- Solicitar el envio del backup de la base de datos
- Solicitar el envio de los logs del servidor web

#### Revisiones Offline

- Borrar themes no usados
- Borrar plugins no usados
- Revisar el archivo .htaccess, verificar que no hay redirecciones extrañas
- Verificar integridad de archivos core de la instalación de joomla con [https://audit-fs.co.za/](https://audit-fs.co.za/)
- Descargar los componentes usados del repositorio oficial
- Actualizar el core: [https://www.youtube.com/watch?v=Duba0GEj2L8](https://www.youtube.com/watch?v=Duba0GEj2L8)
- Revisar integridad de archivos, comparar con los archivos descargados [https://downloads.joomla.org/es/latest](https://downloads.joomla.org/es/latest)

```
diff -r joomla-3.6.4 ./public_html
```

####  Restauración del sitio

- Eliminar los backdoors identificados y restaurar el sitio web con los archivos antiguos
- Cambiar las contraseñas de los usuarios de: 
    - Joomla
    - Base de datos
    - hosting/Cpanel

Modificar permisos:

- chmod 444 .htaccess
- chmod 444 index.php

Instalar las extensiones

- https://extensions.joomla.org/extension/securitycheck/ (Revisa componentes con vulnerabilidades)
- https://www.akeebabackup.com/products/akeeba-backup.html (Realizar backups)
- [https://extensions.joomla.org/extension/brute-force-stop/](https://extensions.joomla.org/extension/brute-force-stop/)
- https://www.richeyweb.com/software/joomla/plugins/1-adminexile ()

Reemplazar el contenido del archivo .htaccess con:

#### Herramientas

[https://malwaredecoder.com](https://malwaredecoder.com)

### Actualización del core de Joomla a la última versión

1. Descargar el paquete de actualización https://downloadas.joomla.org/es/
2. Sobre escribir los archivos en el servidor con los del paquete de actualización.
3. Si sale el error "Fatal error: Call to undefined method JApplicationSite::set()" 
    1. Reemplazar la carpeta libraries con las de la instalación completa.
4. Si sale un error "Unknown column 'a.cliente\_id' in 'where clause': Unknown column 'a.client\_id' in 'where clause'" en el panel de administración. 
    1. Ejecutar (Reemplazar XXXXX por el prefijo usado en la base de datos):

```bash
ALTER TABLE `XXXXXX_menu_types` ADD COLUMN `client_id` int(11) NOT NULL DEFAULT 0 AFTER `description`;

UPDATE `XXXXXX_menu` SET `published` = 1 WHERE `menutype` = 'main' OR `menutype` = 'menu';
```

Realizar correcciones en la base de datos. En el menú de administración:

`Extensiones> Gestor de extensiones> Database> Corregir`

### Hardening de Joomla

- Cambiar el nombre del usuario administrador (admin) ycrear un password robusto
- Los archivos deben tener los siguientes permisos:

<table border="1" id="bkmrk-tipo-de-archivo-perm" style="border-collapse: collapse; width: 99.7531%;"><colgroup><col style="width: 50.0618%;"></col><col style="width: 50.0618%;"></col></colgroup><tbody><tr><td>**Tipo de archivo**

</td><td>**Permisos**</td></tr><tr><td>Archivos PHP</td><td>644</td></tr><tr><td>Archivos de configuración</td><td>644</td></tr><tr><td>Otros folders</td><td>755</td></tr></tbody></table>

- Cambiar la ruta por defecto del panel de administración
- Deshabilitar el registro de usuarios:

`tudominio.com/administrador/index.php?option=com_config&view=component&component=com_users`

# Ransomware

El ransomware es un tipo de software malicioso (malware) que se utiliza para bloquear el acceso a los archivos o sistemas de una víctima y exigir un rescate para restaurar el acceso. Los atacantes utilizan el ransomware para extorsionar a individuos y empresas mediante el cifrado de archivos o el bloqueo del acceso a sistemas críticos, lo que les impide acceder a sus datos y archivos importantes.

Una vez que el ransomware infecta un sistema, se suele mostrar una pantalla de advertencia que exige un pago en criptomonedas para obtener una clave de cifrado que permita desbloquear los archivos o sistemas afectados. En algunos casos, los atacantes también amenazan con publicar los datos de la víctima si no se paga el rescate.

El ransomware se propaga a menudo mediante técnicas de ingeniería social, como correos electrónicos de phishing, enlaces maliciosos o descargas de software ilegal. Además, algunos tipos de ransomware también pueden propagarse a través de vulnerabilidades en el software o sistemas no actualizados.

Es importante destacar que no se recomienda pagar el rescate exigido por los atacantes ya que no hay garantía de que los archivos o sistemas afectados sean restaurados, además de que esto puede animar a los ciberdelincuentes a continuar con sus actividades ilícitas. En lugar de pagar el rescate, es recomendable tomar medidas preventivas para evitar la infección por ransomware, como mantener el software actualizado, utilizar software de seguridad y educar a los empleados en técnicas de seguridad informática.

#### Intentar recuperar "shadow copy"

Listar si existen "shadow copies"

```
vssadmin list shadows
```

En caso que hubiera copias, usar ShadowExplorer.exe (portable) para recuperar archivos.

#### Determinar la forma de infección

- Información básica del sistema

```
systeminfo
```

- Información de red

```
ipconfig/all
```

- Identificar con que equipos se comunicó

```
arp -a
```

- Extraer el historial de navegación (Ejecutar como el usuario que infecto el equipo) 
    - Chrome History View (AGAVE)
    - Mozilla History View (AGAVE)
    - IE History View (AGAVE)
- Registro de actividades (Necesita permisos de administrador) 
    - LastActiivityView
    - MyEventViewer
    - RecentFileView
    - USBDBView

Nota: Transformar los archivos a UTF-8 con el comando dos2unix.

#### Análisis forense

- Realizar el apagado brusco del equipo. Desconectar el cable (PC de escritorio), Usar el boton de apagado (Laptop)
- Realizar copia bit a bit del disco duro

```bash
dd if=/dev/sdc of=/media/parrot/disk600Gb/backup.img bs=64M conv=sync,noerror status=progress
```

Si fuera necesario convertir la imagen forense en disco virtual

```bash
qemu-img convert -O vmdk -o compat6 backup.img vmdkname.vmdk
qemu-img convert -f raw -O vmdk rawdisk200gb.img vdisk200gb.vmdk
```

#### Herramientas útiles

- Identificar exactamente que variante de ransomware infecto al host 
    - [https://id-ransomware.malwarehunterteam.com/index.php](https://id-ransomware.malwarehunterteam.com/index.php)
    - [https://www.nomoreransom.org/crypto-sheriff.php?lang=en](https://www.nomoreransom.org/crypto-sheriff.php?lang=en)
    - Buscar IoC (IPs, dominios, etc) en los logs del firewall/proxy

Identificar si el ransomware usa llave simetrica (AES) o asimetrica (RSA). Si el ransomware usa una llave simetrica buscar la llave de encriptación en la copia de la memoria RAM.

#### Buscar herramientas para desencirptar

- [https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pub?output=html](https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pub?output=html)
- [https://heimdalsecurity.com/blog/ransomware-decryption-tools/](https://heimdalsecurity.com/blog/ransomware-decryption-tools/)
- [https://www.nomoreransom.org/en/decryption-tools.html](https://www.nomoreransom.org/en/decryption-tools.html)
- [https://www.avast.com/ransomware-decryption-tools](https://www.avast.com/ransomware-decryption-tools)
- [https://decrypter.emsisoft.com/](https://decrypter.emsisoft.com/)
- [https://support.kaspersky.com/viruses/utility](https://support.kaspersky.com/viruses/utility)
- https://noransom.kaspersky.com/?tool=. \[EXTENSION ARCHIVOS CIFRADOS\]
- [https://malpedia.caad.fkie.fraunhofer.de/](https://malpedia.caad.fkie.fraunhofer.de/)

#### Intentar recuperar archivos de la copia forense

- Usar Autopsy con la copia forense
- Usar FTK para montar la imagen forense y usar el software de recuperacion “recuva”

#### Anexos

- Links de descarga: 
    - [https://www.shadowexplorer.com/downloads.html](https://www.shadowexplorer.com/downloads.html)
    - [http://devcdn.avanquest.com/rw/WindowsDataRecovery.exe](http://devcdn.avanquest.com/rw/WindowsDataRecovery.exe)
- Extracción de llave de cifrada estático (AES) de memoria RAM 
    - https://medium.com/@0xINT3/jigsaw-ransomware-analysis-using-volatility-2047fc3d9be9
- Posibles vectores: 
    - pop-ups
    - facebook messenger
    - mail
    - Cracks

# Adware



# Backdoors/webshells

#### 1. Usando GREP

- Guardar en el archivo pattern.txt

```bash
eval($_REQUEST
eval($_GET
eval($_POST
eval(
$GLOBALS[
$strrev('dedoce
base64_decode
str_replace
preg_replace
gzinflate
$f53[
hacked
FilesMan
\x73\x74\x72\x5f
str_rot13
Location:
google.com
bing.com
```

- Ejecutar al comando

```bash
fgrep -rf pattern.txt folderInstalacion | egrep -iv "\.js|\.css|\.po|\.html|Binary" > resultado.txt
```

- Eliminar los falsos positivos
- Otros patrones sospechosos (Ejecutar dentro del directorio principal)

```bash
grep -r '\\x' * | egrep -iv "\.gif|\.js|\.png|\#|entities" 
grep -r '\\057' * | egrep -iv "\.gif|\.js|\.png|\#|binary|Crypto|zip|case|elseif|ChaCha|\\x00|pie|escaper"

```

#### 2. Usando la herramienta webshell-scanner-client

- Descargar e instalar webshell-scanner-client

```bash
wget https://github.com/baidu-security/webshell-scanner-client/releases/download/v1.0/webdir-linux32.bin
sudo mv webdir-linux32.bin /usr/bin/webshell-scanner-client
sudo chmod a+x /usr/bin/webshell-scanner-client
```

- Escanear un archivo

```bash
webshell-scanner-client.bin archivo.php- Solicitar al RSI que mueva los archivos de la instalacion wordpress a otra ruta que no sea accesible desde el servidor web. Ej: /home/{usuario}
```

#### 3. Usando la herramienta webshell-scan

- Descargar e instalar webshell-scna

```bash
git clone https://github.com/tstillz/webshell-scan
go build main.go
sudo mv main /usr/bin/webshell-scan
```

- Escanear en busca de webshells con extensión en php

```bash
webshell-scan -dir . -exts php
```

#### 4. Usando findbot

- Instalar

```bash
wget https://raw.githubusercontent.com/wellr00t3d/findbot.pl/master/findbot.pl
chmod a+x findbot.pl
sudo mv findbot.pl /usr/bin
```

- Buscar archivos maliciosos

```bash
findbot.pl directorio
```

# Herramientas sandbox

Una sandbox (en español, caja de arena) es un entorno aislado y seguro en el que se pueden ejecutar aplicaciones y procesos sin afectar al sistema principal. La idea detrás de una sandbox es crear un espacio limitado en el que los programas pueden ejecutarse sin afectar el resto del sistema, lo que permite a los usuarios probar o ejecutar aplicaciones sin preocuparse por los posibles efectos negativos.

Las sandboxes se utilizan a menudo para ejecutar software no confiable o potencialmente peligroso, como archivos de correo electrónico adjuntos, scripts descargados de Internet, software malicioso o programas que pueden dañar el sistema. Al ejecutar estos programas en una sandbox, el usuario puede analizarlos o probarlos sin exponer su sistema a posibles amenazas.

Además, las sandboxes también se utilizan para desarrollar y probar aplicaciones en un entorno seguro y aislado. Esto permite a los desarrolladores probar sus aplicaciones sin preocuparse por los posibles efectos negativos en el sistema principal.

#### Sandbox Online

Puede utilizar las siguientes sandbox:

- [https://sandbox.anlyz.io/](https://sandbox.anlyz.io/)
- [https://app.any.run/](https://app.any.run/)
- [https://www.hybrid-analysis.com/](https://www.hybrid-analysis.com/)
- [https://www.joesandbox.com](https://www.joesandbox.com)

# Desfiguraciones

Capítulo destinado a acciones de respuesta ante incidentes de desfiguraciones (defacement).

# Defacement principal



# Defacement secundario

# Phishing

Capítulo destinado a acciones de respuesta ante incidentes de phishing

# Denunciar sitios y correos

#### Para sitios web

1\. Reportar a:

- [http://antiphishing.org/report-phishing/](http://antiphishing.org/report-phishing/)
- [https://www.phishtank.com/add\_web\_phish.php](https://www.phishtank.com/add_web_phish.php)
- <reportphishing@apwg.org>
- <report@openphish.com>

Si el sitio de phising esta en USA

- phishing-report@us-cert.gov

Si el sitio de phising esta en hospedado en GoDaddy (Tarda 3 dias)

- [https://supportcenter.godaddy.com/AbuseReport/Index](https://supportcenter.godaddy.com/AbuseReport/Index)
- Enviar un correo a <phishing@godaddy.com>

Si el sitio de phising esta en hospedado en Weebly (Tarda 2 horas)

- weebly-abuse@squareup.com

Si el sitio de phising esta en hospedado en Wix (Tarda 3 dias laborales)

- https://www.wix.com/about/abuse-form

Si el sitio de phising esta en hospedado en Blogspot

- [https://safebrowsing.google.com/safebrowsing/report\_phish/](https://safebrowsing.google.com/safebrowsing/report_phish/)
- [https://www.blogger.com/report](https://www.blogger.com/report)

2\. Notificar a la entidad afectada para que saquen una comunicado oficial

3\. Reportar a las organizaciones de boliviaverifica (wa.me/59162535868) y chequeabolivia (whatsapp wa.me/59178370590)

4\. De ser necesario notificar a la unidad de comunicación de la AGETIC para que publiquen sobre el sitio falso

#### Para correos electrónicos

1\. Aparente compromiso de la cuenta origen comunicar al CERT/CSIRT nacional correspondiente.

2\. Si se trata de campañas genéricas con origen gmail, hotmail reportar a:

- Reenviar como adjunto a <reportphishing@apwg.org>
- Denunciar la cuenta a gmail [https://support.google.com/mail/contact/abuse](https://support.google.com/mail/contact/abuse)
- Denunciar la cuenta outlook phish@afficce <phish@office365.microsoft.com>

# Analizar cabeceras y configuraciones de correo

#### Análsis de cabeceras

- [https://www.ip2location.com/free/email-tracer](https://www.ip2location.com/free/email-tracer)
- [https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx](https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx)
- [https://toolbox.googleapps.com/apps/messageheader/analyzeheader](https://toolbox.googleapps.com/apps/messageheader/analyzeheader)

#### Validar DMARC

- [https://easydmarc.com/tools/dmarc](https://easydmarc.com/tools/dmarc)

#### Visualizar reporte DMARC (xml)

- [https://mxtoolbox.com/DmarcReportAnalyzer.aspx](https://mxtoolbox.com/DmarcReportAnalyzer.aspx)

# Forense

Capítulo destinado a técnicas y herramientas de análisis forense en sistemas operativos y otros

# Sistema operativo Linux

#### Captura de memoria RAM

Requisitos:

- Aceso al sitema
- Privilegios de administrador
- Dispositivo USB con almacenamiento mayor a la RAM

Herramientas:

- LiME (Linux Memory Extractor)
- Volatility

#### Análisis forense al tráfico de red (Local)

Requisitos:

- Acceso al sistema
- Privilegios de administrador

Herramientas:

- Wireshark
- NetworkMiner
- PcapXray

#### Analisis forense al trafico de red (Remoto)

Requisitos:

- Logs de switches, routers, and firewalls

Herramientas

- Análisis manual

#### Copia forense del disco de almacenamiento de datos ( Sin apagar el sistema)

Requisitos:

- Acceso al sistema
- Privilegios de root
- Dispositivo usb con almacenamiento mayor al disco a analizar

Posibles herramientas:

- Solo se identificaron herramientas para el sistema operativo Windows

#### Copia forense del disco de almacenamiento de datos ( Servidor Apagado)

Requisitos

- Acceso fisico al disco de almacenamiento
- Dispositivo usb con almacenamiento mayor al disco a analizar

Posibles herramientas

- dc3dd
- dd
- FTK Imager

#### Otras técnicas

##### Ver los puertos abiertos y proceso asociados

```bash
lsof -i -P
```

##### Ver los archivos abiertos por un proceso

```bash
lsof -p <pid>
```

##### Ver los últimos logeos

```bash
last
```

##### Quién está logeado actualmente

```bash
who
w
```

##### Ver el historial de comandos

```bash
more ~/.bash_history
```

##### Investigar proceso sospechoso

```bash
cd /proc/<pid>
strings ./exe
```

#### Fuentes:

- Learn Computer Forensics: A beginner’s guide to searching, analyzing, and securing digital evidence
- Digital Forensics and Incident Response - Second Edition

# Sistema operativo Windows

#### Análisis de conexiones

```bash
netstat -naob
netstat -f
```

#### Ver recursos compartidos

```
net view
```

#### Ver que equipos se estan comunicando con el sistema actual

```bash
net session

net use
```

#### Análisis de procesos

##### Ver servicios

```bash
tasklist /svc
```

#### Ver las DLLs asociadas a un proceso

```bash
tasklist /m /fi "pid eq <pid>"
```

# Misceláneo

Capítulo destinado a diferentes acciones, técnicas, procedimientos en respuesta a casos de incidentes no categorizados e incluye incidentes por errores de configuración en software que tienen el objetivo de recuperar el servicio e información.

# Recrear datastore eliminado VMware vSphere

- Identificar el “Device Name”

```bash
esxcli storage vmfs extent list
```

En este ejemplo el resultado del comando anterior es “mpx.vmhba0:C0:T0:L0” (Device Name) , reemplazar con el valor correspondiente a su instalación

- Identificar el bloque de inicio

```bash
offset="128 2048"; for dev in `esxcfg-scsidevs -l | grep "Console Device:" | \
awk {'print $3'}`; do disk=$dev; echo $disk; partedUtil getptbl $disk; \
{ for i in `echo $offset`; do echo "Checking offset found at $i:"; \
hexdump -n4 -s $((0x100000+(512*$i))) $disk; \
hexdump -n4 -s $((0x1300000+(512*$i))) $disk; \
hexdump -C -n 128 -s $((0x130001d + (512*$i))) $disk; done; } |  \
grep -B 1 -A 5 d00d; echo "———————"; done
```

En este ejemplo el inicio del bloque es 2048:

`<span style="color: rgb(224, 62, 45);">Checking offset found at 2048</span>`:

- Obtener los sectores usables. Usar el “device name” correspondiente a su instalación

```bash
partedUtil getUsableSectors /vmfs/devices/disks/mpx.vmhba0:C0:T0:L0
```

En este ejemplo el valor de los sectores usables es 83886046

- Recrear partición usando los “sectores usables” y el “device name” correspondiente a su instalación

```bash
partedUtil mklabel /vmfs/devices/disks/mpx.vmhba0:C0:T0:L0 gpt

partedUtil setptbl "/vmfs/devices/disks/mpx.vmhba0:C0:T0:L0" gpt "1 2048 83886046 AA31E02A400F11DB9590000C2911D1B8 0"
```

# Exportar e importar posts de wordpress a una nueva instalación

#### Exportar los posts

- Instalar y activar este plugin en la instalación de wordpress de donde se exportara los posts  
    [https://wordpress.org/plugins/export-media-with-selected-content/](https://wordpress.org/plugins/export-media-with-selected-content/)
- Exportar los posts (Seleccionar la opción de exportar con contenido multimedia)

[![wordpressexportacion1.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/scaled-1680-/YwYSrqeKN8YP1iBq-wordpressexportacion1.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/YwYSrqeKN8YP1iBq-wordpressexportacion1.png)

- Se descargara un archivo xml con los posts. Si se genera muchos errores 50x debido a la sobrecarga del servidor se recomienda exportar el contenido por meses para que el servidor no tenga que procesar tantos archivos en una sola petición

#### Importar los posts

- Ejecutar el importador de WordPress

[![wordpressimportacion1.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/scaled-1680-/4Ov2Q8N8OoNtc7FU-wordpressimportacion1.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/4Ov2Q8N8OoNtc7FU-wordpressimportacion1.png)

- Cargar el archivo generado anteriormente

[![wordpressimportacion2.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/scaled-1680-/Wwb26mrOXKxpMsR9-wordpressimportacion2.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/Wwb26mrOXKxpMsR9-wordpressimportacion2.png)

- Asignar con que autor se importara el contenido (Seleccionar la opción de descargar e importar adjuntos)

[![wordpressimportacion3.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/scaled-1680-/NUpw85QFrce2oMw8-wordpressimportacion3.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2023-03/NUpw85QFrce2oMw8-wordpressimportacion3.png)

- Importará automáticamente las categorias

# Recuperar acceso root mediante cambio de contraseña

#### Reiniciando el sistema

- Reiniciar el sistema y presione cualquier tecla para detener el proceso de inicio. Presione “e” para editar los parámetros de la línea de comandos del kernel.
- Adicionar el parámetro “init=/bin/bash“ e iniciar el sistema (F10)
- Para montar el sistema de archivos raíz en “modo lectura-escritura”.
- Cambiar el password con el comando passwd
- Reiniciar el sistema y ingresar con el nuevo password

#### Sin reiniciar el sistema

La unica opcion para este escenario es la ejecución romota de código (RCE) mediante la explotación de alguna vulnerabilidad para cambiar password del usuario root. Las vulnerabilidades identificadas para Debian 9 son:

- CVE-2019-11815 Dificil de explotar y existe una gran probabilidad de causar una denegacion de servicio. No existe exploit público
- CVE-2020-15862 No existe exploit público

Fuente: [https://security-tracker.debian.org/tracker/CVE-2019-11815](https://security-tracker.debian.org/tracker/CVE-2019-11815)

# Denegación de Servicio (DoS)

Capítulo destinado a acciones de respuesta ante ataques de denegación de servicio.

# Fail2ban para HTTP

### Anti - DoS con fail2ban (WebSites \[ports:80/443\])

Implementacion de anti-DoS con fail2ban en Sistema Operativo Debian 9

#### Instalar los paquetes “fail2ban” y “iptables-persistent”

```bash
~$ sudo apt-get install iptables-persistent fail2ban
```

#### Modificar la configuracion por defecto de fail2ban y agregar las siguientes lineas al archivo mencionado

```bash
~$ vim /etc/fail2ban/jail.conf
```

```bash
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
# Cambiar a la ruta de los logs de Apache/Nginx/etc..
logpath = /var/log/*apache2*/*access.log
maxretry = 300
findtime = 300
#ban por 5 minutos
bantime = 600
action = iptables[name=HTTP, port=http, protocol=tcp]
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
```

#### Crear un archivo en la ruta correspondiente con el siguiente contenido

```bash
~$ vim /etc/fail2ban/filter.d/http-get-dos.conf
```

```bash
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
# Fail2Ban archivo de configuracion
[Definition]
# Opcion: failregex
# Se debe configurar el maxretry y findtime en jail.conf muy cuidadosamente para evitar los falsos positivos.
failregex = ^<HOST> -.*"(GET|POST).*
# Optcion: ignoreregex (El IP de este campo no sera bloqueado)
ignoreregex =
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
```

#### Reiniciar el servicio de fail2ban

```bash
~$ sudo systemctl restart fail2ban.service
```

#### Para revisar las IP bloqueados

```bash
~$ sudo iptables -nvL
```

#### Remover IP “banneada”

```bash
//Desplegara las reglas que creamos en este caso seria http-get-dos
~$ sudo fail2ban-client status
//Elimina la IP "banneada"
~$ sudo fail2ban-client set http-get-dos unbanip <IP_ADDRESS>
```

# Análisis de registros posterior a un ataque DDoS

El sitio web <button type="button">FalconFeeds.io </button>contiene información sobre múltiples actores de amenaza. Es posible buscar información para recolectar datos sobre actores maliciosos.

<u>Degradación de los servicios.</u>

Verificar la página de Uptime Kuma para concluir, en base a los registros, el tiempo de respuesta de los sitios web afectados. En caso de caída del sitio, verificar el tiempo que se mantuvo fuera de línea.

<u>Prevención interna.</u>

1. Configuración y mejora de los mecanismos de respuesta ante la detección de actividad de red inusual.
2. Verificación de la configuración del firewall disponible ante la respuesta ante ataques de tipo SYN DDoS (ataque de denegación de servicio que explota el proceso de establecimiento de conexiones TCP).

<span style="text-decoration: underline;">Análisis con Goaccess.</span>

Se ejecuta el comando "goaccess access.log" en la terminal para generar un informe con las solicitudes realizadas al servidor.

Con base a los resultados obtenidos con la herramienta

- Se revisan las métricas presentadas por GoAccess, incluyendo cantidad de solicitudes, IPs más activas y horas con mayor tráfico.
- Se utiliza cat access.log para visualizar el contenido del archivo de registros en los horarios que se haya tenido mas actividad, separando primero horas luego minutos y por ultimo si es necesario por segundos.
- Se aplica grep para filtrar líneas relevantes que contienen información sobre las solicitudes más frecuentes en determinadas horas.
- Se usa cut para extraer las direcciones IP de las solicitudes en los períodos de mayor actividad.

Obtención de las IPs en las horas de mayor tráfico

- Se ejecuta un pipeline con cat, grep, y cut para procesar los datos y obtener las IPs más activas durante los picos de tráfico.
- Se genera un listado de direcciones IP correspondiente a las horas con mayor número de solicitudes.

Análisis y posible uso de datos

- Se analizan las IPs extraídas para identificar posibles patrones, ataques o actividad inusual en el servidor.
- Se pueden utilizar estos datos para aplicar bloqueos, realizar auditorías o mejorar la seguridad del sistema.

<span style="text-decoration: underline;">Análisis con Wazuh Manager.</span>

Realizar un laboratorio de prueba para simular la carga de registros en un servidor de prueba, descartando los registros de información y seleccionando alertas de nivel medio y alto.

- Utilizar un script de simulación de carga de registros en el mismo directorio donde se almacenan los registros a analizar.

```bash
nano simulador.sh
```

```bash
#!/bin/bash
#Archivo de entrada al script que contiene los registros del objetivo del ataque
input_file="access.log"
#Archivo de salida monitorizado por Wazuh para la generación de alertas
output_file="archivoaccess.log"
# Verifica si el archivo de salida existe y, si es así, lo elimina
# para evitar duplicar los registros o mezclarlos con anteriores
if [ -f "$output_file" ]; then
    rm "$output_file"
fi
# Lee el archivo línea por línea
while IFS= read -r line
do
    # Simula la recepción de logs añadiendo un retraso de 90 ms
    # para no sobrepasar el humbral de deteccion de eventos que tiene wazuh manager
    sleep 0.09
    # Escribe la línea en el archivo de salida
    echo "$line" >> "$output_file"
    echo "Log añadido: $line"
done < "$input_file"
# Registro de la cantidad de lineas copiadas mientras se ejecuta el script
echo "El archivo ha sido copiado línea por línea a $output_file"
```

- Añadir permisos de ejecución del archivo.

```bash
sudo chmod +x simulador.sh
```

- Añadir al archivo "ossec.conf" la configuración para el análisis del archivo de salida del script y que las alertas se generen en base a este comportamiento.

```xml
<ossec_config>
  <localfile>
    <log_format>syslog</log_format>
    <location>/home/wazuh/monitoreo/archivoaccess.log</location>
  </localfile>
</ossec_config>

```

- Reiniciar el servicio de Wazuh manager o Wazuh agent que se esté utilizando para aplicar los cambios realizados.

```bash
sudo systemctl restart wazuh-manager
```

```bash
sudo systemctl restart wazuh-agent
```

- Ejecutar el script de simulación para observar las alertas.

```bash
./simulador.sh
```

- Analizar las alertas en base a los resultados

![](https://lh7-rt.googleusercontent.com/docsz/AD_4nXe8cSwIoMueu0uOwGSnsy9ASQsO2w4zupx6QUbIYa2HweDZ7DHNkPgAy1iStl2CzOVbBhQwVVjIrw3u-O4olWyqsXCgD8XckNg5Ko1BPXk2iQCG9Xe5soRQZiEUXhdg5tubwNd3sg?key=o8YNxKQFSGEwhxDStIDMmINZ)

![](https://lh7-rt.googleusercontent.com/docsz/AD_4nXdEIy2H0ouyybifSOTgNQUvavufWg7RuUSp9Hp5r8Q22vIpXAqdhBOXqFBSaSbvda7eNwQNEgaAwwQe1arEj9pB5PWRn7jt8oor-UBJqh-d6Et9eigKdNF0JKxIcYUH57YVIWq0?key=o8YNxKQFSGEwhxDStIDMmINZ)

<span style="text-decoration: underline;">Análisis de resultados con la plataforma MISP.</span>

Con la lista de direcciones IP únicas, agruparlas de 1000 en 1000 para poder copiar la lista y observar qué direcciones IP tienen correlación con otro evento dentro de la región.

<u>![](https://lh7-rt.googleusercontent.com/docsz/AD_4nXdvPNn5vy2rSseZRiWypmV0_hDYdhHAbsfmKNbqnEjcnHs0JfKDNm6MRozwO3AsiYr1Ta95xtYSQf_bGs8L91gzxjwpPkQjuqrgjsepog5T0kxSxZC6PBK2UMp5CUt5jCjQDb-oig?key=o8YNxKQFSGEwhxDStIDMmINZ)</u>

<span style="text-decoration: underline;">Distribución de la información.</span>

Extraer de los archivos de registro las direcciones IP involucradas y crear un evento con nivel alto de peligrosidad dentro de la plataforma MISP, indicando todos los indicadores de compromiso para proporcionar la información a las instituciones.

<span style="text-decoration: underline;">Identificación de los países implicados.</span>

Descargamos la base de datos de IP's y países disponible en github con el nombre de "[GeoLite2-Country.mmdb](https://git.io/GeoLite2-Country.mmdb)"

- [https://github.com/P3TERX/GeoLite.mmdb](https://github.com/P3TERX/GeoLite.mmdb)

Iniciamos y activamos el entorno virtual para iniciar el programa "geoip2" dentro del mismo directorio de la base de datos descargada.

```bash
python3 -m venv myenv
source myenv/bin/activate
```

Instalamos dentro del entorno virtual la herramienta.

```bash
pip install geoip2
```

Utilizamos un script en python para el uso de esta base de datos con un archivo de direcciones IP identificadas.

```python
import csv
import geoip2.database
from collections import Counter

# Archivos de entrada y salida
archivo_entrada = "entrada.csv"
archivo_salida_temp = "salida.csv"
archivo_salida_final = "conteo_paises.csv"

# Cargar la base de datos GeoIP
ruta_db = "GeoLite2-Country.mmdb"
lector = geoip2.database.Reader(ruta_db)

def obtener_pais(ip):
    try:
        respuesta = lector.country(ip)
        return respuesta.country.name
    except geoip2.errors.AddressNotFoundError:
        return "IP no encontrada"
    except Exception as e:
        return f"Error: {e}"

# Leer IPs desde entrada.csv y procesarlas
resultados = []
conteo_paises = Counter()

total_ips = 0
with open(archivo_entrada, "r", encoding="utf-8") as archivo:
    lector_csv = csv.reader(archivo)
    next(lector_csv, None)  # Saltar la cabecera si existe

    for fila in lector_csv:
        if not fila:  # Evitar líneas vacías
            continue
        ip = fila[0]
        pais = obtener_pais(ip)
        resultados.append((ip, pais))
        conteo_paises[pais] += 1
        total_ips += 1

# Guardar resultados en salida.csv
with open(archivo_salida_temp, "w", newline="", encoding="utf-8") as archivo:
    escritor = csv.writer(archivo)
    escritor.writerow(["IP", "País"])
    escritor.writerows(resultados)

# Guardar conteo de países en conteo_paises.csv
with open(archivo_salida_final, "w", newline="", encoding="utf-8") as archivo:
    escritor = csv.writer(archivo)
    escritor.writerow(["IP", "País", "Conteo"])
    for ip, pais in resultados:
        escritor.writerow([ip, pais, conteo_paises[pais]])

# Cerrar la base de datos
lector.close()

print(f"Proceso completado. Se procesaron {total_ips} IPs.")
print("Revisa los archivos 'salida.csv' y 'conteo_paises.csv'.")
```

Ejecutamos el script con el archivo de entrada:

```bash
python geo.py
```

La salida del archivo "salida.csv" tiene las direcciones IP acompañadas del país de origen:

[![imagen.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-02/scaled-1680-/RH2rGHJe8QQisY9L-imagen.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-02/RH2rGHJe8QQisY9L-imagen.png)

Mientras que la salida del archivo "conteo\_paises.csv" tiene las direcciones IP, el país de origen y la cantidad de solicitudes que realizó cada país, se toman en cuenta solamente las direcciones IP las cuales realizaron más de 1000 solicitudes al servidor.

[![imagen.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-02/scaled-1680-/bCBnCBd0cWK00DyC-imagen.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-02/bCBnCBd0cWK00DyC-imagen.png)

Con esta información se procede a comunicar a los países origen mediante una investigación en la plataforma RTIR.

# Manejo de la plataforma MISP

##### <span style="text-decoration: underline;">Espacio en disco duro servidor MISP</span>

Con la recepción contínua de eventos hacia la plataforma MISP y el almacenamiento ocupado en disco se requerirá periódicamente eliminar eventos antiguos que ya no representan información actualizada, para este propósito se ingresa a la base de datos de la plataforma desplegada.

**Detener los servicios de Docker Compose**  
Ingresamos a la consola del contenedor que almacena la base de datos

```bash
docker exec -it misp-docker-db-1 bash
```

Dentro de la instancia de base de datos se realizan los siguientes comandos:

```mysql
USE misp;
DELETE FROM events WHERE date < '2020-01-01';
DELETE FROM attributes WHERE event_id NOT IN (SELECT id FROM events);
DELETE FROM objects WHERE event_id NOT IN (SELECT id FROM events);
DELETE FROM event_tags WHERE event_id NOT IN (SELECT id FROM events);
```

**Reiniciar los servicios de Docker Compose**

<div class="paragraph" id="bkmrk-antes-de-detener-los">Antes de detener los servicios, verifica que la base de datos esté en un estado consistente. Puedes ejecutar consultas de verificación para asegurarte de que no queden referencias huérfanas:</div>```sql
SELECT * FROM attributes WHERE event_id NOT IN (SELECT id FROM events);
SELECT * FROM objects WHERE event_id NOT IN (SELECT id FROM events);
SELECT * FROM event_tags WHERE event_id NOT IN (SELECT id FROM events);
```

<div class="paragraph" id="bkmrk-despu%C3%A9s-de-detener-l">Se debe posicionar el terminal en el directorio que contiene el docker compose para poder reiniciarlo.  
</div>```bash
docker-compose up -d
```

<div class="paragraph" id="bkmrk-"></div>

# Ransomware

# Recursos en línea

#### Consultar ataques de Ransomware

[https://www.ransomware.live/map/BO](https://www.ransomware.live/map/BO)

[https://ransomfeed.it/](https://ransomfeed.it/)

[https://www.ransomlook.io/](https://www.ransomlook.io/)

https://darkfeed.io/

# PlayBook

#### **Acciones de respuesta ante ransomware y extorsión de datos**

Acciones a realizar en caso de haber sufrido un incidente de ransomware

##### **Detección y análisis**

- [ ] Determinar qué sistemas fueron afectados y aislarlos inmediatamente
- [ ] Apagar los dispositivos o desconectarlos de la red para evitar una mayor propagación de la infección de ransomware
- [ ] Clasificar los sistemas afectados para la restauración y recuperación.
- [ ] Examinar los registros y los sistemas existentes de detección o prevención de la entidad (p. ej., antivirus, EDR, IDS, sistema de prevención de intrusiones)
- [ ] Consultar con su equipo para desarrollar y documentar una comprensión inicial de lo que ocurrió basándose en el análisis inicial.

Iniciar actividades de búsqueda de amenazas.

En caso de que la entidad cuente con infraestructura física, verifique:

- [ ] Cuentas de AD recién creadas o cuentas con privilegios elevados y actividad reciente relacionada con cuentas privilegiadas, como administradores de dominio
- [ ] Inicios de sesión anómalos en dispositivos de VPN u otros inicios de sesión sospechosos.
- [ ] Modificaciones de puntos de conexión que puedan deteriorar las copias de seguridad, las instantáneas, el registro en diario de los discos o las configuraciones de arranque. Busque un uso anómalo de las herramientas integradas de Windows, como bcdedit.exe, fsutil.exe (deletejournal), vssadmin.exe, wbadmin.exe y wmic.exe (shadowcopy o shadowstorage). El uso indebido de estas herramientas es una técnica de ransomware común para inhibir la recuperación del sistema.
- [ ] Indicios de la presencia de la señal/cliente de Cobalt Strike. Cobalt Strike es un paquete de software comercial de pruebas de penetración. Los agentes maliciosos suelen nombrar los procesos de Windows de Cobalt Strike con los mismos nombres que los procesos de Windows legítimos para ofuscar su presencia y complicar las investigaciones.
- [ ] Señales de cualquier uso inesperado de software de supervisión y administración remota (RMM) (incluidos los ejecutables portátiles que no están instalados). Los agentes maliciosos suelen utilizar el software de RMM para mantener la persistencia
- [ ] Cualquier ejecución inesperada de PowerShell o uso del conjunto PsTools.
- [ ] Signos de enumeración de credenciales de AD o LSASS que se vuelcan (p. ej., Mimikatz, Sysinternals ProcDump o NTDSutil.exe).
- [ ] Señales de comunicaciones inesperadas entre puntos de conexión (incluidos los servidores), por ejemplo, el envenenamiento del protocolo de resolución de direcciones (ARP, por sus siglas en inglés) de un punto de conexión o el tráfico de comando y control retransmitido entre puntos de conexión.
- [ ] Cantidad anormal de datos salientes a través de cualquier puerto. El software de código abierto puede canalizar datos a través de varios puertos y protocolos. Por ejemplo, los agentes de ransomware han utilizado Chisel para canalizar el shell seguro (SSH, por sus siglas en inglés) a través del puerto 443 del protocolo de transferencia de hipertexto seguro (HTTPS, por sus siglas en inglés). Los agentes de ransomware también han utilizado Cloudflared para hacer mal uso de los túneles de Cloudflare a fin de canalizar las comunicaciones a través del HTTPS.
- [ ] La presencia de Rclone, Rsync y diversos servicios de almacenamiento de archivos basados en la web, y del protocolo de transferencia de archivos (FTP, por sus siglas en inglés) y del protocolo de transferencia segura de archivos (SFTP, por sus siglas en inglés), que son herramientas comunes para la exfiltración de datos (y también las utilizan los agentes de amenazas para implantar malware o herramientas en las redes afectadas)
- [ ] Servicios recién creados, tareas programadas inesperadas, software instalado imprevisto, archivos inusuales creados, procesos legítimos con procesos secundarios inesperados, etc.

En caso de que la entidad utilice entorno en la nube, verifique:

- [ ] Habilite herramientas para detectar y evitar las modificaciones en recursos de IAM, seguridad de la red y protección de datos
- [ ] Utilice la automatización para detectar problemas comunes (p. ej., deshabilitación de características, introducción de nuevas reglas del cortafuegos) y tomar medidas automatizadas apenas ocurran. Por ejemplo, si se crea una nueva regla del cortafuegos que permite el tráfico abierto (0.0.0.0/0), se puede tomar una medida automatizada para deshabilitar o eliminar esta regla y enviar notificaciones al usuario que la creó, así como al equipo de seguridad para que esté al tanto. Esto ayudará a evitar la fatiga de alertas y permitirá que el personal de seguridad se concentre en cuestiones fundamentales.

##### **Contención y erradicación**

- [ ]  Identifique los sistemas y las cuentas involucrados en la vulneración inicial. Esto puede incluir cuentas de correo electrónico.
- [ ] Deshabilite las redes privadas virtuales, los servidores de acceso remoto, los recursos de inicio de sesión único y los activos públicos basados en la nube o de otro tipo.

Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de  
identificación rápida del cifrado de datos del lado del servidor

- [ ] Revise Administración de equipos &gt; Sesiones y las listas de Archivos abiertos en los servidores asociados para determinar el usuario o el sistema que accede a esos archivos.
- [ ] Revise las propiedades de los archivos cifrados o las notas de rescate para identificar usuarios específicos que puedan estar asociados a la propiedad de los archivos.
- [ ] Revise el registro de eventos de TerminalServices-RemoteConnectionManager para verificar si hay conexiones de red del RDP satisfactorias.
- [ ] Revise el registro de seguridad de Windows, los registros de eventos de SMB y los registros relacionados que puedan identificar eventos importantes de autenticación o acceso
- [ ] Ejecute un software de captura de paquetes, como Wireshark, en el servidor afectado con un filtro para identificar las direcciones IP involucradas en la escritura activa o el cambio de nombre de archivos (p. ej., smb2.filename contains cryptxxx).

Realice un análisis extendido para identificar los mecanismos de persistencia de interacción  
indirecta y de interacción directa.

- [ ] La persistencia de interacción indirecta puede incluir el acceso autenticado a los sistemas  
    externos a través de cuentas no autorizadas, las puertas traseras en los sistemas perimetrales, la  
    explotación de las vulnerabilidades externas, etc.
- [ ] La persistencia de interacción directa puede incluir implantes de malware en la red interna o una variedad de modificaciones al estilo “living-off-the-land” (p. ej., el uso de herramientas comerciales de pruebas de penetración, como Cobalt Strike; el uso del conjunto PsTools, incluido PsExec, para instalar y controlar malware de forma remota, y recopilar información relativa a los sistemas Windows o realizar su administración remota; el uso de scripts de PowerShell).
- [ ] La identificación puede implicar la implementación de soluciones de EDR, auditorías de cuentas locales y de dominio, la revisión de los datos encontrados en los sistemas de registro centralizados o un análisis forense más profundo de sistemas específicos una vez que se ha trazado el movimiento dentro del entorno.
- [ ] Reconstruya los sistemas con base en la priorización de los servicios fundamentales mediante el uso de imágenes estándar preconfiguradas si es posible. Utilice la infraestructura como plantillas de código para reconstruir los recursos en la nube.
- [ ] Emita restablecimientos de contraseña para todos los sistemas afectados y aborde cualquier vulnerabilidad asociada y deficiencia en la seguridad o visibilidad una vez que el entorno se haya limpiado y reconstruido completamente, lo que incluye cualquier cuenta afectada asociada y la eliminación o la corrección de los mecanismos de persistencia maliciosos. Esto puede incluir aplicar correcciones, actualizar el software y tomar otras precauciones de seguridad que no se hayan adoptado previamente. Actualice las claves de cifrado administradas por el cliente según sea necesario.
- [ ] La autoridad de tecnologías de la información o de seguridad de la información designada de la entidad declara finalizado el incidente de ransomware según criterios establecidos, que pueden incluir seguir los pasos anteriores o buscar asistencia externa.

##### **Recuperación y actividad posterior al incidente**

- [ ] Reconecte los sistemas y restaure los datos a partir de copias de seguridad cifradas sin conexión, con base en una priorización de los servicios fundamentales. Tenga cuidado de no reinfectar los sistemas limpios durante la recuperación. Por ejemplo, si se ha creado una nueva red de área local virtual (VLAN, por sus siglas en inglés) con fines de recuperación, asegúrese de que solo se agreguen sistemas limpios.
- [ ]  Documente las conclusiones obtenidas a partir del incidente y las actividades de respuesta asociadas para actualizar y perfeccionar las políticas, los planes y los procedimientos de la organización, y orientar futuros ejercicios relacionados con ellos.
- [ ] Considere compartir las conclusiones y los indicadores de riesgo relevantes con el Centro de Gestión de Incidentes Informáticos para ayudar a otras entidades públicas que pudieran sufrir incidentes similares.

# Análisis de registros logs

Herramientas y técnicas para el análisis de logs de diferentes servicios, entre ellos apache2 y nginx

# Análisis de archivos de logs con Wazuh

Mediante el uso de un script personalizado, Se realizará la copia línea por línea de los archivos recibidos hacia un archivo monitorizado por Wazuh, simulando así el comportamiento del agente que recibe los logs en tiempo real.

Siguiendo estos pasos se podrán gestionar y analizar los datos de manera más eficiente, por que se filtraran las alertas por nivel de criticidad en el dashboard y no tendremos que analizar los logs que tienen criticidad nula o no tienen que ver con la investigación, para lograrlo realizaremos los siguientes pasos:

##### **Edición del archivo de configuración**.  


Abrimos el archivo de configuración del agente o manager de Wazuh ***ossec.conf*** posteriormente agregamos la configuración para monitorear el archivo de logs.

```bash
nano /var/ossec/etc/ossec.conf
```

Configuración de ejemplo:

```xml
<localfile>
    <log_format>syslog</log_format>
    <location>/ruta/al/archivo/authlog.log</location>
</localfile>
```

Se debe verificar el formato del archivo de los registros para que sea decodificado de manera correcta y posteriormente analizado.

Una vez realizada la edición del archivo se debe reiniciar el agente o el manager donde se haya realizado la configuración.

```bash
systemctl restart wazuh-agent
systemctl restart wazuh-manager
```

##### **Automatización.**

Este script leerá el archivo de logs línea por línea y lo copiará a un archivo que será monitorizado por Wazuh.

```shell
#!/bin/bash
# Archivo de entrada (registros proporcionados)
input_file="authlog.log"
# Archivo de salida (Archivo monitorizado por wazuh)
output_file="archivoauthlog.log"
# Verifica si el archivo de salida existe y, si es así, lo elimina
if [ -f "$output_file" ]; then
    rm "$output_file"
fi
# Lee el archivo línea por línea
while IFS= read -r line
do
    # Simula la recepción de logs añadiendo un retraso de 200 ms
    sleep 0.2
    # Escribe la línea en el archivo de salida
    echo "$line" >> "$output_file"
    echo "Log añadido: $line"
done < "$input_file"
echo "El archivo ha sido copiado línea por línea a $output_file"
```

```bash
chmod +x /ruta/al/script.sh
```

##### **Verificación la Configuración.**

Acceder al panel de Wazuh Manager y verificar que los logs estén siendo recibidos y analizados correctamente.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/JckmEnQTlCS2yihv-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/JckmEnQTlCS2yihv-image.png)

Para comprobar que se trata del archivo analizado inspeccionamos el elemento deseado y verificamos que se trata del archivo de logs escogido.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/beO8FGNkMoMAIFi8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/beO8FGNkMoMAIFi8-image.png)

# Verificación de Incidentes

En caso de que exista un posible incidente de seguridad informática seguir estos pasos:

1. Verificar los subdominios del nombre de dominio

Se pueden utilizar diversas herramientas, como:

- Google dorks 
    - <span class="pln">site</span><span class="pun">:</span><span class="pln">example\_domain</span><span class="pun">.</span><span class="pln">com</span>
- https://dnsdumpster.com/
- [https://hackertarget.com/find-dns-host-records/](https://hackertarget.com/find-dns-host-records/)
- [https://osint.sh/subdomain/](https://osint.sh/subdomain/)
- [https://pentest-tools.com/information-gathering/find-subdomains-of-domain](https://pentest-tools.com/information-gathering/find-subdomains-of-domain)

# Eventos MISP

Manual de creación de eventos en la plataforma MISP

# 00- Doble factor de autenticación para cuenta MISP

Para fortalecer la seguridad de su cuenta en la plataforma, se debe habilitar la autenticación de dos factores debido a la información que se encuentra en la plataforma.

 A continuación, se detallan los pasos para activar esta función en su perﬁl de usuario:

**Acceda a su perﬁl de usuario:**

- Inicie sesión en su instancia de MISP.
- Haga clic en “Admin” ubicado en la esquina superior derecha.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/4EbMousSImsRnwON-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/4EbMousSImsRnwON-image.png)

**Habilite TOTP.**

- En la sección de su perﬁl, busque la opción para habilitar TOTP.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/fIi63VazBfeHpPNk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/fIi63VazBfeHpPNk-image.png)

- En la sección de su perﬁl, busque la opción para habilitar TOTP.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/QP8UD3OWegUjcY5A-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/QP8UD3OWegUjcY5A-image.png) **Conﬁgure la aplicación de autenticación:**

- Utilice una aplicación de autenticación compatible con TOTP, como Google Authenticator, Microsoft Authenticator o Authy.
- Abra la aplicación en su dispositivo móvil.
- Seleccione la opción para agregar una nueva cuenta y escanee el código QR proporcionado por MISP.
- Después de escanear el código QR, la aplicación generará códigos temporales de seis dígitos.
- Ingrese uno de estos códigos en el campo de veriﬁcación en MISP para conﬁrmar la conﬁguración y de click al botón "Submit" para guardar.  
    [![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/5LDXwc4TKWDB57JL-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/5LDXwc4TKWDB57JL-image.png)

**Guarde sus códigos de recuperación (HOTP):**

- Una vez veriﬁcado el TOTP, MISP le proporcionará una lista de códigos de un solo uso (HOTP) que puede utilizar en caso de no tener acceso a su dispositivo móvil.
- Guarde los códigos en un lugar seguro, ya que serán esenciales para acceder a su cuenta si pierde el acceso a la aplicación de autenticación.
- A partir de ahora, al iniciar sesión, después de ingresar su nombre de usuario y contraseña, se le solicitará un código TOTP generado por su aplicación de autenticación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/xKCXlfFWjfz1hGbZ-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/xKCXlfFWjfz1hGbZ-image.png)

# 01- Distribución de phishing evento MISP

#### <span style="color: rgb(35, 111, 161);">**Introducción**</span>

MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOC's), análisis de malware y otros datos relevantes de seguridad.

Esta guía te ayudará a utilizar la plataforma MISP (Malware Information Sharing Platform &amp; Threat Sharing) para crear y distribuir eventos de manera eficiente y completa. Tenemos como finalidad proporcionar un paso a paso detallado para crear, configurar y publicar eventos en MISP, tomando distintos ejemplos. Su objetivo es estandarizar el proceso de documentación y compartir inteligencia sobre amenazas de manera eficiente, asegurando que los usuarios de la plataforma puedan aprovechar la información para fortalecer sus defensas y prevenir incidentes similares.

#### <span style="color: rgb(35, 111, 161);">**Contexto**</span>

El Centro de Gestión de Incidentes Informáticos ha identificado una campaña de phishing masiva que distribuye malware a través de adjuntos en correos electrónicos.

Los pasos para publicar el evento en MISP pueden variar según la información disponible, pero en este ejemplo se detallarán los indicadores de compromiso (IOCs) más comunes asociados a correos de phishing. En casos específicos, es posible que no se encuentren todos los datos mencionados, por lo que solo se debe incluir información verificada.

<span style="color: rgb(35, 111, 161);">**CREACIÓN DEL EVENTO.**</span>

- Ingresar a la sección de **Events** posteriormente **Event Actions** y por último seleccionar **Add event**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/oPz6WOwua9dddkEA-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/oPz6WOwua9dddkEA-image.png)

- **<span style="color: rgb(22, 145, 121);">Distribution.</span>** Define el alcance de visibilidad del evento.
- <span style="color: rgb(22, 145, 121);">**Threat level.** </span>  
    Define el nivel de amenaza del evento.
- <span style="color: rgb(22, 145, 121);">**Analysis.** </span>  
    Define el evento en Inicial,Ongoing (en curso) o finalizado.
- <span style="color: rgb(22, 145, 121);">**Event info.** </span>  
    Incluir el resumen de una descripción del evento.
- **<span style="color: rgb(22, 145, 121);">Extends Event.</span>** Si el evento está relacionado con uno previo, agregar el UUID correspondiente para vincularlos.

<span style="color: rgb(53, 152, 219);">**<span style="color: rgb(35, 111, 161);">ASIGNACIÓN DE TAGS</span>** </span>

<span style="color: rgb(0, 0, 0);">El uso de tags nos ayuda en gran medida a contextualizar y enriquecer la información compartida. Estas etiquetas no solo facilitan la categorización y búsqueda eficiente de eventos también permiten establecer relaciones claras entre incidentes, amenazas y campañas maliciosas.</span>

<span style="color: rgb(0, 0, 0);">Al incorporar tags descriptivos, los usuarios de la plataforma pueden priorizar, filtrar y correlacionar datos con mayor precisión, mejorando así la respuesta ante ciberamenazas entre la comunidad de seguridad. </span>

- <span style="color: rgb(22, 145, 121);">**TLP "GREEN".**</span> La información no está restringida y puede compartirse para prevenir ataques.
- <span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">"**email phishing**".</span> indica el método de distribución del malware.  
    </span>
- **<span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">Taxonomías estandarizadas de CIRCL y CSIRT Américas.</span> </span>**<span style="color: rgb(0, 0, 0);">Estas etiquetas facilitan la contextualización del evento, especialmente para organizaciones y países que filtran amenazas basándose en dichas taxonomías.</span>**<span style="color: rgb(0, 0, 0);">  
    </span>**

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/GBK4S0W3LJa4Wrne-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/GBK4S0W3LJa4Wrne-image.png)

- <span style="color: rgb(22, 145, 121);">**TAG local.** </span>Al añadirlo se utilizará esta etiqueta personalizada para filtrar eventos específicos de Bolivia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZZyqb6I1pM10HYeT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZZyqb6I1pM10HYeT-image.png)

#### <span style="color: rgb(35, 111, 161);">Asignación de Atributos y Objetos</span>

Los atributos se agruparán en objetos para este caso, esto nos sirve para organizar la información (cuerpo del correo, archivo adjunto, etc.).

<span style="color: rgb(35, 111, 161);">**OBJETOS.**</span>

Para crear los objetos nos dirigimos al menú lateral de la derecha y seleccionamos la opción **Add Object**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/Zt88PCWv7uNovQqw-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/Zt88PCWv7uNovQqw-image.png)

**<span style="color: rgb(22, 145, 121);">Objeto 1. Correo electrónico.</span>** Extraemos los datos relevantes del correo malicioso.

- En al correo electrónico recibido, podemos extraer (remitente, asunto, adjuntos, etc.).

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/pUkQLdZTZNxlSKTT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/pUkQLdZTZNxlSKTT-image.png)

- Los atributos correspondientes se añaden al objeto **Correo** de la siguiente manera:

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/73aFQoQpoqrsXY8J-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/73aFQoQpoqrsXY8J-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/uYTR7Qwwo1wuWx9A-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/uYTR7Qwwo1wuWx9A-image.png)

<span style="color: rgb(22, 145, 121);">**Objeto 2. Archivo adjunto (malware).**</span>

Es posible analizar el archivo en herramientas como VirusTotal, Any.Run o Hybrid Analysis.

- En este caso la información que puede ser extraída para el análisis contiene hashes (MD5, SHA-1, SHA-256), nombre del archivo y metadatos como podemos ver a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/nUJbuy6xdAax0sdt-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/nUJbuy6xdAax0sdt-image.png)

- Los objetos y sus atributos se listarán en la sección correspondiente.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/mxPeNmLx9kyNggnd-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/mxPeNmLx9kyNggnd-image.png)

<span style="color: rgb(35, 111, 161);">**<span style="color: rgb(35, 111, 161);">EVENT REPORT.</span>** </span>

- Para contextualizar el impacto del malware complementando la información del evento creamos un Event Report de forma manual en primera instancia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/izWo88T5ukntXRRb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/izWo88T5ukntXRRb-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/VG05TA0LqgML0VDe-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/VG05TA0LqgML0VDe-image.png)

- Opcionalmente, generamos un informe automático con **Generate Report From Event**, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/0R3Kz5CUy2w5U8P8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/0R3Kz5CUy2w5U8P8-image.png)

- Al realizar click en cualquiera de los objetos se tendrá como resultado los atributos que lo componen.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/rnfSR8RjQfAiNdyg-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/rnfSR8RjQfAiNdyg-image.png)

#### <span style="color: rgb(35, 111, 161);">**Publicación del evento.**</span>

Para modificar el estado inicial del evento y permitir que los demás usuarios de la plataforma accedan a él, según su nivel de distribución, observamos inicialmente que el evento aparece con el estado '**Published=No**', como se muestra en la siguiente captura de pantalla

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/EemN15W49D7ov0MC-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/EemN15W49D7ov0MC-image.png)

Con la opción 'Publish (No Email)', se realiza la publicación en la plataforma sin enviar un correo electrónico a los usuarios. Si se requiere el envío de correos, debe seleccionarse la opción 'Publish Event'. Después de elegir cualquiera de las dos opciones, el estado del evento cambia a '**Published=Yes**'

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/qFZKQzxyhHwQ1jGM-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/qFZKQzxyhHwQ1jGM-image.png)

Cuando el evento es publicado se asigna un ID al evento en este caso "**3**" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento como se muestra a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/NPnYjS1hT2a5vqpz-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/NPnYjS1hT2a5vqpz-image.png)

<div class="notranslate" id="bkmrk--15" style="all: initial;"></div>

# 02- Direcciones IP con actividad de malware evento MISP

#### <span style="color: rgb(35, 111, 161);">**Introducción**</span>

MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOC's), análisis de malware y otros datos relevantes de seguridad.

Esta guía te ayudará a utilizar la plataforma MISP (Malware Information Sharing Platform &amp; Threat Sharing) para crear y distribuir eventos de manera eficiente y completa. Tenemos como finalidad proporcionar un paso a paso detallado para crear, configurar y publicar eventos en MISP, tomando distintos ejemplos. Su objetivo es estandarizar el proceso de documentación y compartir inteligencia sobre amenazas de manera eficiente, asegurando que los usuarios de la plataforma puedan aprovechar la información para fortalecer sus defensas y prevenir incidentes similares.

#### <span style="color: rgb(35, 111, 161);">**Contexto**</span>

El Centro de Gestión de Incidentes Informáticos recibió una alerta de seguridad que contiene información delicada (Lista de direcciones IP) de una red de distribución de malware activa dentro del país.

Los pasos para publicar el evento en MISP pueden variar según la información disponible, pero en este ejemplo se detallarán los indicadores de compromiso (IOCs) más comunes asociados a distribución de malware. En casos específicos, es posible que no se encuentren todos los datos mencionados, por lo que solo se debe incluir información verificada.

<span style="color: rgb(35, 111, 161);">**CREACIÓN DEL EVENTO.**</span>

- Ingresar a la sección de **Events** posteriormente **Event Actions** y por último seleccionar **Add event**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/THXZAboJNuXqacts-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/THXZAboJNuXqacts-image.png)

- **<span style="color: rgb(22, 145, 121);">Distribution.</span>** Define el alcance de visibilidad del evento.
- <span style="color: rgb(22, 145, 121);">**Threat level.** </span>  
    Define el nivel de amenaza del evento.
- <span style="color: rgb(22, 145, 121);">**Analysis.** </span>  
    Define el evento en Inicial,Ongoing (en curso) o finalizado.
- <span style="color: rgb(22, 145, 121);">**Event info.** </span>  
    Incluir el resumen de una descripción del evento.
- **<span style="color: rgb(22, 145, 121);">Extends Event.</span>** Si el evento está relacionado con uno previo, agregar el UUID correspondiente para vincularlos.

**<span style="color: rgb(53, 152, 219);"><span style="color: rgb(35, 111, 161);">ASIGNACIÓN DE TAGS</span></span>**

<span style="color: rgb(0, 0, 0);">El uso de tags nos ayuda en gran medida a contextualizar y enriquecer la información compartida. Estas etiquetas no solo facilitan la categorización y búsqueda eficiente de eventos también permiten establecer relaciones claras entre incidentes, amenazas y campañas maliciosas.</span>

<span style="color: rgb(0, 0, 0);">Al incorporar tags descriptivos, los usuarios de la plataforma pueden priorizar, filtrar y correlacionar datos con mayor precisión, mejorando así la respuesta ante ciberamenazas entre la comunidad de seguridad. </span>

- <span style="color: rgb(22, 145, 121);">**TLP "AMBER+STRICT".**</span> La información está restringida y es compartida solamente con individuos autorizados (usuarios MISP del nodo nacional).
- **<span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">Taxonomías estandarizadas de CIRCL y CSIRT Américas.</span> </span>**<span style="color: rgb(0, 0, 0);">Estas etiquetas facilitan la contextualización del evento, especialmente para organizaciones y países que filtran amenazas basándose en dichas taxonomías.</span>

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/3ILbhVGrs1jemPwh-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/3ILbhVGrs1jemPwh-image.png)

- <span style="color: rgb(22, 145, 121);">**TAG local.** </span>Al añadirlo se utilizará esta etiqueta personalizada para filtrar eventos específicos de Bolivia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZZyqb6I1pM10HYeT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZZyqb6I1pM10HYeT-image.png)

#### <span style="color: rgb(35, 111, 161);">Asignación de Atributos</span>

<span style="color: rgb(0, 0, 0);">Los atributos para este caso son de actividad de red, esto nos sirve para organizar la información.</span>

**<span style="color: rgb(35, 111, 161);">OBJETOS.</span>**

En este caso específico no se tienen objetos, como muestras de malware o distribución por phishing o spam debido a que el origen de la información nos detalla direcciones IP que distribuyen malware.

<span style="color: rgb(35, 111, 161);">**ATRIBUTOS.**</span>

Para agregar la lista de IP's procedemos a seleccionar el boton de "+" para añadir los atributos.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/1SplMDPYe2rfpIx8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/1SplMDPYe2rfpIx8-image.png)

Estos atributos se clasifican en la categoría de actividad de red e IP destino por que son las direcciones IP a las que se comunican los equipos infectados.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/jdrYFZbz6FUtz0D1-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/jdrYFZbz6FUtz0D1-image.png)

Una vez seleccionada la opción **Submit** podemos observar que los atributos han sido agregados correctamente observando si existe una correlación con otros eventos

**<span style="color: rgb(35, 111, 161);">CORRELACIÓN DE EVENTOS.</span>**

- El evento creado automáticamente se correlaciona con el evento 2 y 16298 como podemos ver a en la columna Related Events a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/SMms1aQUQxDmuEKB-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/SMms1aQUQxDmuEKB-image.png)

- La forma recomendada para visualizar la correlación se encuentra en la esquina superior derecha donde podemos encontrar eventos que fueron relacionados con las direcciones IP reportadas como maliciosas por el proveedor de información, con esta nueva información comprobamos que las direcciones IP están relacionadas con malware *Agent tesla* y se vio involucrada en realización de solicitudes maliciosas a dominios del país.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/juEqy9W46xLCGqrb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/juEqy9W46xLCGqrb-image.png)

<span style="color: rgb(35, 111, 161);">**EVENT REPORT.**</span>

- Generamos un event report automático con Generate Report From Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/VvUKxU05FLvV6x1y-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/VvUKxU05FLvV6x1y-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ew83hUi6zQ8iDZua-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ew83hUi6zQ8iDZua-image.png)

- Una vez generado el reporte se observa en el apartado de Event Reports el resumen de los datos relevantes del reporte.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/AOw7SEMfDqMSxETV-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/AOw7SEMfDqMSxETV-image.png)

- El reporte generado resume la información del evento en la siguiente plantilla:

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/4PC4r6WQ6mFxgG2z-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/4PC4r6WQ6mFxgG2z-image.png)

#### <span style="color: rgb(35, 111, 161);">**Publicación del evento.**</span>

Para modificar el estado inicial del evento y permitir que los demás usuarios de la plataforma accedan a él, según su nivel de distribución, observamos inicialmente que el evento aparece con el estado '**Published=No**', como se muestra en la siguiente captura de pantalla

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/krlJR7Hlmlf8rqDb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/krlJR7Hlmlf8rqDb-image.png)

Con la opción 'Publish (No Email)', se realiza la publicación en la plataforma sin enviar un correo electrónico a los usuarios. Si se requiere el envío de correos, debe seleccionarse la opción 'Publish Event'. Después de elegir cualquiera de las dos opciones, el estado del evento cambia a '**Published=Yes**'

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/3TfgmyNJAo4FSERk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/3TfgmyNJAo4FSERk-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/juEqy9W46xLCGqrb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/juEqy9W46xLCGqrb-image.png)

Cuando el evento es publicado se asigna un ID al evento en este caso "**36748**" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento como se muestra a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/V9UulX4xM7teiUAH-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/V9UulX4xM7teiUAH-image.png)

<div class="notranslate" id="bkmrk--17" style="all: initial;"></div>

# 03- Campaña DDoS evento MISP

#### <span style="color: rgb(35, 111, 161);">**Introducción**</span>

MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOC's), análisis de malware y otros datos relevantes de seguridad.

Esta guía te ayudará a utilizar la plataforma MISP (Malware Information Sharing Platform &amp; Threat Sharing) para crear y distribuir eventos de manera eficiente y completa. Tenemos como finalidad proporcionar un paso a paso detallado para crear, configurar y publicar eventos en MISP, tomando distintos ejemplos. Su objetivo es estandarizar el proceso de documentación y compartir inteligencia sobre amenazas de manera eficiente, asegurando que los usuarios de la plataforma puedan aprovechar la información para fortalecer sus defensas y prevenir incidentes similares.

#### <span style="color: rgb(35, 111, 161);">**Contexto**</span>

El Centro de Gestión de Incidentes Informáticos realiza la investigación de un intento de ataque de denegación de servicio (DDoS) hacia servidores gubernamentales en Bolivia, durante esta investigación se pudo recopilar una gran cantidad de direcciones IP que pertenecen a la botnet para realizar ataques, se utilizaron criterios de numero de solicitudes realizadas y tipo de solicitudes para identificar estas solicitudes.

Los pasos para publicar el evento pueden variar ligeramente según el contenido y la información proporcionada a la plataforma. En este ejemplo de creación de un evento en MISP, se detallan conjuntos de direcciones IP que luego fueron reportadas a los respectivos países para tomar acciones de mitigación desde sus jurisdicciones. En casos específicos de DDoS, los datos más importantes son las *direcciones IP de origen*, los *rangos de IP* y la *geolocalización*, ya que son atributos clave para correlacionar. Como contexto adicional, los *tiempos entre solicitudes* son muy útiles para identificar *patrones en solicitudes automatizadas*.

<span style="color: rgb(35, 111, 161);">**CREACIÓN DEL EVENTO.**</span>

- Ingresar a la sección de **Events** posteriormente **Event Actions** y por último seleccionar **Add event**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/cwlJtJqDmmeV88xf-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/cwlJtJqDmmeV88xf-image.png)

- **<span style="color: rgb(22, 145, 121);">Distribution.</span>** Define el alcance de visibilidad del evento.
- <span style="color: rgb(22, 145, 121);">**Threat level.** </span>  
    Define el nivel de amenaza del evento.
- <span style="color: rgb(22, 145, 121);">**Analysis.** </span>  
    Define el evento en Inicial,Ongoing (en curso) o finalizado.
- <span style="color: rgb(22, 145, 121);">**Event info.** </span>  
    Incluir el resumen de una descripción del evento.
- **<span style="color: rgb(22, 145, 121);">Extends Event.</span>** Si el evento está relacionado con uno previo, agregar el UUID correspondiente para vincularlos.

**<span style="color: rgb(53, 152, 219);"><span style="color: rgb(35, 111, 161);">ASIGNACIÓN DE TAGS</span></span>**

<span style="color: rgb(0, 0, 0);">El uso de tags nos ayuda en gran medida a contextualizar y enriquecer la información compartida. Estas etiquetas no solo facilitan la categorización y búsqueda eficiente de eventos también permiten establecer relaciones claras entre incidentes, amenazas y campañas maliciosas.</span>

<span style="color: rgb(0, 0, 0);">Al incorporar tags descriptivos, los usuarios de la plataforma pueden priorizar, filtrar y correlacionar datos con mayor precisión, mejorando así la respuesta ante ciberamenazas entre la comunidad de seguridad. </span>

- <span style="color: rgb(22, 145, 121);">**TLP "GREEN".**</span> La información no está restringida y puede compartirse para prevenir ataques.
- <span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">**"DDoS Botnet" y "DDoS attack Evidence campaign".** </span>Debido al comportamiento malicioso observado en la mayoría de las direcciones IP y la investigación realizada donde se anuncia el ataque de denegación de servicio.</span>
- **<span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">Taxonomías estandarizadas de CSIRT Américas.</span> </span>**<span style="color: rgb(0, 0, 0);">Estas etiquetas facilitan la contextualización del evento, especialmente para organizaciones y países que filtran amenazas basándose en dichas taxonomías.</span>

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZlDA4YLpryoioRFH-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZlDA4YLpryoioRFH-image.png)

- <span style="color: rgb(22, 145, 121);">**TAG local.** </span>Al añadirlo se utilizará esta etiqueta personalizada para filtrar eventos específicos de Bolivia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZZyqb6I1pM10HYeT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZZyqb6I1pM10HYeT-image.png)

#### <span style="color: rgb(35, 111, 161);">Asignación de información al evento.  
</span>

<span style="color: rgb(0, 0, 0);">Los atributos para este caso pertenecen a la categoría de actividad de red, esto nos sirve para organizar la información.</span>

**<span style="color: rgb(35, 111, 161);">OBJETOS.</span>**

En este caso específico no se incluyen objetos, como muestras de malware o archivos maliciosos, ya que el origen de la información se limita a direcciones IP que forman parte de la botnet responsable del ataque DDoS. Por este motivo, no se añadirán objetos al análisis.

<span style="color: rgb(35, 111, 161);">**ATRIBUTOS.**</span>

Para agregar la lista de direcciones IP procedemos a seleccionar el botón "**+**" para añadir los atributos.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/1SplMDPYe2rfpIx8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/1SplMDPYe2rfpIx8-image.png)

Estos atributos se clasifican en la categoría de actividad de red e IP fuente por que son las direcciones IP desde las que se realizó el intento de denegación de servicio.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/4qsFUt2i3065AyUq-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/4qsFUt2i3065AyUq-image.png)

Una vez seleccionada la opción '**Submit**', podemos verificar que los atributos se han agregado correctamente y comprobar si existe correlación con otros eventos. En este caso particular, dado el volumen elevado de direcciones IP, se recomienda revisar las correlaciones en la esquina superior derecha de la interfaz. En la columna adyacente pueden observarse los atributos que han sido añadidos al evento

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/uwAf1BU4yX0Ec5j6-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/uwAf1BU4yX0Ec5j6-image.png)

**<span style="color: rgb(35, 111, 161);">CORRELACIÓN DE EVENTOS.</span>**

<span style="color: rgb(35, 111, 161);"><span style="color: rgb(0, 0, 0);">La forma recomendada para visualizar la correlación se encuentra en la esquina superior derecha donde podemos encontrar eventos que fueron relacionados con nuestro evento.</span></span>**<span style="color: rgb(35, 111, 161);">  
</span>**

En la esquina superior derecha de la interfaz se visualizan los eventos relacionados con las direcciones IP identificadas como parte de la red involucrada en el ataque DDoS, extraídas durante la investigación. Este contexto nos permite establecer que:

- Direcciones IP asociadas a actividad maliciosa.
- Dispositivos IoT comprometidos.
- Direcciones dedicadas a enumeración de usuarios.
- Intentos de exploración no autorizados.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/U7hkpQtupHI6U3FG-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/U7hkpQtupHI6U3FG-image.png)

<span style="color: rgb(35, 111, 161);">**EVENT REPORT.**</span>

- Generamos un event report automático con Generate Report From Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/VvUKxU05FLvV6x1y-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/VvUKxU05FLvV6x1y-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ew83hUi6zQ8iDZua-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ew83hUi6zQ8iDZua-image.png)

- Una vez generado el reporte se observa en el apartado de Event Reports el resumen de los datos relevantes del reporte.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/OldPnl6ZCWaKIkN9-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/OldPnl6ZCWaKIkN9-image.png)

- El reporte generado resume la información del evento en la siguiente plantilla:

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/hsX6VHOi11it9Nhk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/hsX6VHOi11it9Nhk-image.png)

#### <span style="color: rgb(35, 111, 161);">**Publicación del evento.**</span>

Para modificar el estado inicial del evento y permitir que los demás usuarios de la plataforma accedan a él, según su nivel de distribución, observamos inicialmente que el evento aparece con el estado '**Published=No**', como se muestra en la siguiente captura de pantalla.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/krlJR7Hlmlf8rqDb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/krlJR7Hlmlf8rqDb-image.png)

Con la opción 'Publish (No Email)', se realiza la publicación en la plataforma sin enviar un correo electrónico a los usuarios. Si se requiere el envío de correos, debe seleccionarse la opción 'Publish Event'. Después de elegir cualquiera de las dos opciones, el estado del evento cambia a '**Published=Yes**'

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/3TfgmyNJAo4FSERk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/3TfgmyNJAo4FSERk-image.png)

Cuando el evento es publicado se asigna un ID al evento en este caso "**53289**" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento como se muestra a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/MDTDqTtREXFOTCds-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/MDTDqTtREXFOTCds-image.png)

<div class="notranslate" id="bkmrk--18" style="all: initial;"></div>

# REPORTE DE INCIDENTE

Los datos relevantes al reportar un incidente del que haya tenido conocimiento son:

- Tipo de incidente
- Descripción General
- Impacto del incidente
- Fecha que tuvo conocimiento del incidente
- Institución afectada
- URL del sitio o servicio afectado
- Capturas de pantalla o Indicadores de Compromiso (IoC)
- Mayor información en caso de que tenga conocimiento (opcional)
- Acciones de contención y mitigación (en caso de que usted haya atendido el incidente)

Puede realizar su reporte a través de:

- Sitio web: [cgii.gob.bo](https://cgii.gob.bo/)
- Correo electrónico: incidentes@agetic.gob.bo