5: ERRADICACIÓN

¿Qué es la erradicación?

Es la fase del ciclo de respuesta a incidentes donde se eliminan de forma definitiva todos los rastros del atacante, el malware, puertas traseras, accesos persistentes y configuraciones comprometidas del entorno afectado.

⚠️ Si la erradicación falla, el atacante puede reentrar o seguir teniendo acceso sin ser detectado, incluso tras la contención.

🎯 OBJETIVO PRINCIPAL

Eliminar el acceso del adversario a la red y cualquier residuo de su actividad, sin dañar más los activos.

📝​ PASOS ESTRUCTURALES DE LA ERRADICACIÓN

1. 🧬 Identificación de la persistencia

El atacante rara vez entra, actúa y se va. Suele:

• Crear cuentas ocultas o falsamente legítimas.

• Instalar servicios residentes o demonios personalizados.

• Dejar web shells en carpetas de backup o rutas no monitoreadas.

• Agregar tareas programadas (cron, at, systemd, Scheduled Tasks).

• Reconfigurar reglas de firewall para mantener puertas abiertas.

✅ Primera misión del CIRT aquí: realizar un Threat Hunting dirigido para buscar persistencia.

2. 🔍 Validación de la integridad del sistema

Antes de limpiar, hay que saber qué está limpio y qué no:

• Comparar el sistema con una línea base conocida (Golden Image).

• Usar herramientas como:

  • chkrootkit, rkhunter (Linux)

  • Autoruns, GMER, Sysinternals (Windows)

  • file integrity monitoring (FIM)

• Verificar hashes de archivos binarios críticos (Ej. /bin/ssh, explorer.exe).

3. 🔥 Eliminación de malware

• Elimina todos los binarios maliciosos detectados.

• Borra cargas útiles, scripts y cronjobs instalados por el atacante.

• Limpia shells persistentes.

• Usa herramientas forenses para asegurarte de que no se regeneren.

💡 Recomendación Purple Team: tener scripts de erradicación automatizados para ciertos IOC/TTP conocidos.

4. 🧱 Eliminación de puertas traseras

• Revisa todos los cambios en los archivos de configuración:

  • .bashrc, .vimrc, .profile, .ssh/authorized_keys

  • systemd o init.d en Linux

  • Registro de Windows (Run, RunOnce, Services)

• Revisa cambios en DNS, hosts, y firewall local.

5. 🔑 Revisión y rotación de credenciales

El atacante puede haber:

• Robado credenciales.

• Hecho "dumping" de memoria (con Mimikatz, por ejemplo).

• Instalado keyloggers.

• Reutilizado contraseñas.

✅ Rotar inmediatamente:

• Credenciales del sistema afectado.

• Claves SSH/API/token.

• Contraseñas administrativas.

• Cuentas de servicio.

6. 🔐 Eliminación de accesos remotos

• Cerrar VPNs abiertas.

• Cortar RDP expuestos.

• Revocar accesos cloud sospechosos (AWS, Azure).

• Desvincular dispositivos móviles o sistemas BYOD asociados al ataque.

7. 💣 Desinstalar herramientas del atacante

• RATs (Remote Access Trojans).

• Keyloggers.

• Sniffers.

• Packet capture tools (Wireshark, tcpdump malicioso).

• Beaconing malware (que llama a un C2 externo).

💡 Tip: Verifica conexiones salientes a dominios raros (TI + NetFlow/DNS logs).

8. 🧹 Limpieza de logs falsificados o maliciosos

• Algunos atacantes alteran los logs para borrar rastros o plantar evidencia falsa.

• Restaurar logs desde sistemas de backup (WORM o SIEM con retención independiente).

• Marcar logs como evidencia para auditoría y análisis forense.

9. 📈 Monitoreo reforzado post-erradicación

• Instalar agentes EDR actualizados.

• Aumentar la sensibilidad de alertas en ese host por 7-15 días.

• Revisar logs cada 12h para detectar:

  • Reintentos de acceso.

  • Persistencia no detectada.

  • Conexiones sospechosas.

10. 🧪 Validación de la erradicación

Antes de declarar un sistema como listo para ser restaurado a producción:

• Escanearlo con antivirus + EDR + análisis manual.

• Hacer pruebas de integridad.

• Aislarlo en entorno controlado por 24-48h (sandbox operacional).

• Solo tras pasar todas las validaciones → volver a producción.

🛠️ HERRAMIENTAS TÍPICAS PARA ERRADICACIÓN

• CrowdStrike, SentinelOne, Defender ATP –  EDR avanzado para remediación
• Sysinternals Suite – Inspección profunda Windows
• OSQuery – Consultas forenses en vivo
• GRR Rapid Response – Remediación remota distribuida
• FTK Imager, Volatility – Análisis forense de memoria

🧠 MENTALIDAD PURPLE

Como líder Purple, la erradicación no se trata solo de borrar malware. Se trata de asegurar que el atacante no tenga forma de volver y que todo el sistema esté reforzado contra futuras amenazas similares.

Debes:

• Documentar cada paso.

• Confirmar cada eliminación.

• Evaluar cada brecha para fortalecer controles futuros.

• Comunicar con claridad al equipo y liderazgo qué se hizo, por qué y qué sigue.

CURIOSIDADES, CLAVES AVANZADAS Y BUENAS PRÁCTICAS

1. El 70% de los ataques exitosos vuelven en menos de 180 días

¿Por qué? Porque el atacante mantiene persistencia o acceso a otro vector no identificado.
Esto revela que la erradicación mal hecha es más común que una defensa mal hecha.
👉 El verdadero fallo no fue que entraran, sino que nunca se fueron.

2. Algunos rootkits no son detectables desde el sistema comprometido

Rootkits de bajo nivel (ej. UEFI, MBR o kernel) se cargan antes del sistema operativo.
Para detectarlos, necesitas:

• Escaneo desde LiveCD o entorno externo.

• Verificación de integridad desde hosts remotos.

💡 Un atacante avanzado puede sobrevivir a formateos si infectó el firmware o BIOS.

3. Eliminación ≠ Erradicación

Muchos equipos confunden "eliminación de malware" con "erradicación completa".
Eliminar un archivo malicioso visible NO implica que:

• Se haya eliminado el acceso remoto.

• Se hayan borrado las cuentas maliciosas.

• Se hayan neutralizado tareas automatizadas de reingreso.

4. El malware moderno es polimórfico y persistente

Se puede regenerar, cambiar de nombre, cambiar su hash o migrar de proceso automáticamente.
👉 El simple hecho de eliminar "el ejecutable" no resuelve nada si no desactivas el mecanismo de regeneración o acceso.

5. La erradicación sin aislamiento es inútil

Si no aislas el sistema antes de la limpieza, puedes:

• Perder evidencia.

• Alertrar al atacante.

• Provocar un comportamiento reactivo (autodestrucción de payloads, wipers, etc.).

🚫 ERRORES COMUNES EN LA ERRADICACIÓN vs CONSECUENCIAS:

• Solo borrar el malware visible – Persistencia activa en el sistema
• No revisar cuentas de usuario o claves SSH – El atacante puede volver sin alertas
• No revocar tokens o API Keys – Reentrada desde servicios cloud o externos
• Erradicar sin análisis forense – Se pierde el IOC y TTP para proteger el resto de la red
• Volver a poner en producción sin validación – El sistema vuelve a ser vulnerable

🧠 PERSPECTIVA PURPLE TEAM

• Red Team: siempre deja varios caminos de vuelta (backdoors, cuentas falsas, tokens, webshells).

• Blue Team: debe anticiparse a estos movimientos y eliminarlos sistemáticamente.

• Purple Team: integra todo esto en un runbook de erradicación dinámico, adaptado a los TTP detectados.

✅ MANUAL DE BUENAS PRÁCTICAS – FASE ERRADICACIÓN

1. Haz Threat Hunting dirigido antes de limpiar.
   → Busca persistencia avanzada: tareas programadas, servicios sospechosos, claves API activas, etc.

2. Aísla el sistema antes de intervenir.
   → Si no, puedes dañar evidencia o activar payloads ocultos.

3. Documenta cada IOC, cada cambio, cada acción.
   → Sirve para auditoría, lecciones aprendidas y defensa futura.

4. Haz escaneos cruzados desde sistemas externos (liveCD, forense, otra red).

5. No confíes solo en antivirus o EDR.
   → Usa análisis manual, comparación de integridad y validación de logs.

6. Rota contraseñas y tokens aunque no veas signos de uso.
   → La exfiltración silenciosa no siempre deja huella.

7. Haz validación post-erradicación antes de levantar el servicio.

8. Crea o actualiza tu "playbook" con lo aprendido.
   → Cada incidente mejora tu fortaleza.

🧪 BONUS: Checklist rápida de persistencia avanzada

• Revisar autorun y RunOnce en Windows

• Revisar systemd, init.d y cron en Linux

• Comprobar conexiones de salida persistentes (Netstat, TCPView, etc.)

• Verificar acceso remoto (TeamViewer, AnyDesk, etc.)

• Examinar configuración DNS y proxy

• Buscar túneles (SSH reverso, VPNs, ngrok)

• Evaluar logs alterados o truncados

• Verificar integridad de binarios clave (ssh, ls, ps…)

🕵️‍♀️ I. TÉCNICAS AVANZADAS DE PERSISTENCIA (QUE DEBES ERRADICAR)

Persistencia – Descripción – Cómo detectarla – Cómo erradicarla

• Scheduled Tasks / Cron Jobs 

–  Ejecutan malware al reiniciar o a intervalos 

– schtasks /query, crontab -l, /etc/cron* 

– Elimínalas + comprueba su dueño

• Startup Scripts 

–  Se inyectan en /etc/init.d/, systemd, rc.local, Run 

– Revisa archivos de arranque 

– Borra manualmente

• DLL Hijacking 

– DLL maliciosas en rutas prioritarias 

– Registros de llamadas DLL 

– Reemplaza binarios y reconfigura

• Registry Run Keys (Windows) 

– Persistencia en HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

– reg query 

– Elimínalas con reg delete

• Webshells 

– Cargadas en sitios web comprometidos 

– Escaneo de archivos .php, .asp, .jsp 

– Borrado + hardening del webserver

• SSH Keys 

– Claves públicas añadidas al ~/.ssh/authorized_keys 

– Buscar claves desconocidas 

– Eliminar manualmente

• Hidden user accounts 

Usuarios ocultos o sin UID visibles 

– getent passwd, net user 

– Revocar y auditar

💡 TIP Purple: Muchos rootkits alteran los comandos comunes (ls, ps, netstat). Úsalos desde un entorno forense alternativo, como un LiveCD o Sysinternals.

⚔️ II. MENTALIDAD RED TEAM PARA ERRADICACIÓN

Pregúntate:

• 🔍 ¿Cómo pensaría un atacante para volver a entrar?

• 🔗 ¿Qué acceso dejó para sí mismo?

• 🧱 ¿Qué errores esperan que cometa el Blue Team para reaparecer luego?

Ejemplo real:

Un atacante instala un reverse shell y una cuenta backdoor. Tú limpias el shell pero olvidas la cuenta, y tres días después el atacante vuelve, esta vez sin dejar rastro.

Solución: Siempre haz un análisis del sistema como si fueses el atacante revisando sus activos.

🚨 III. ERRADICACIÓN VS CONTRAMEDIDAS ACTIVAS

Los malware de última generación (APT, ransom avanzado, malware financiero como Trickbot) reaccionan a los intentos de erradicación:

• Si detectan desinstalación → Activan autodestrucción.

• Si pierden conexión → Se intentan replicar lateralmente o subir un backup.

• Si borras un archivo clave → Activan wipers o payloads ocultos.

Solución:

• Usa entornos de análisis primero.

• Emplea técnicas de sandboxing inverso (hacer creer que el sistema está en uso normal).

• Usa reglas de YARA para rastrear familias completas.

🧰 IV. HERRAMIENTAS AVANZADAS PARA ERRADICAR COMO UN PROFESIONAL

Herramienta: Función – Sistema

• Velociraptor: Threat hunting, live forensics – Cross-platform

• Sysinternals Suite: Análisis profundo de procesos, red y discos – Windows
• Autoruns: Detectar y desactivar persistencia – Windows
• Chkrootkit / rkhunter: Detectar rootkits – Linux
• GRR Rapid Response: Google forense y live-response – Cross-platform
• YARA: Reglas para detectar malware oculto – Cross-platform
• Volatility: Análisis de memoria RAM – Windows/Linux

🎯 V. OBJETIVO DEL CISO

Como futura líder de seguridad, MI misión no es solo limpiar…
Mi rol es diseñar un Sistema de Erradicación Estandarizado, Automatizado y Auditado (SEEA²):

1. Diseña un playbook de erradicación para cada tipo de incidente (DDoS, Ransom, Exfil, Insider).

2. Establece métricas de éxito: ¿Cuándo se considera erradicado un incidente?

3. Integra todo con SOAR y SIEM: Automatiza los pasos comunes.

4. Ejecuta tabletop exercises regulares: Simula incidentes y mide el tiempo de erradicación.

🛡️ VI. FRASE MENTOR PURPLE TEAM

"Una buena detección puede fallar. Una buena contención puede fallar.
Pero si tu erradicación es impecable, el atacante se queda fuera. Para siempre."