Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/mdr/help/es-es/index.html?contextId=TrickBot

Flujo de trabajo de remediación por infección de TrickBot o Emotet

Siga estos pasos para remediar una infección de TrickBot o Emotet.

Introducción

Actualmente, la suite de malware TrickBot o Emotet es una de las más dominantes y efectivas en circulación. Explota varias técnicas y vectores de infección para propagarse a través de un entorno y ganar persistencia en los dispositivos comprometidos.

Para disfrutar de una protección eficaz, recomendamos Intercept X Advanced with EDR.

Si tiene un incidente activo de TrickBot o Emotet, le recomendamos que se ponga en contacto con nosotros y adquiera nuestro servicio Managed Detection and Response. Se trata de un equipo altamente cualificado que puede ayudarle con la remediación y proporcionarle un análisis de la causa raíz.

Verificar sus dispositivos

Asegúrese de que sus dispositivos están actualizados y protegidos. Para comprobar los dispositivos, haga lo siguiente:

  1. Asegúrese de que todos los dispositivos de la red disponen de una versión actualizada y operativa de Sophos Endpoint Protection.

    No recomendamos intentar remediar una infección de TrickBot o Emotet con Sophos Anti-Virus (local). Sophos Anti-Virus no tiene algunas de las funciones y herramientas eficaces para protegerse contra TrickBot o Emotet y ayudar con la remediación.

  2. Actualice o elimine los dispositivos que utilicen sistemas operativos antiguos en los que no pueda instalar Sophos Endpoint ni obtener las actualizaciones de Windows adecuadas.

    1. Asegúrese de que los dispositivos tienen instalados todos los parches de seguridad de Windows pertinentes. Un único sistema que no esté protegido o no esté parcheado puede infectar otros dispositivos que estén protegidos y parcheados.

  3. Desactive los dispositivos que tengan cualquier versión de Windows 2008 (que no sea Windows 2008 R2), Windows 2003 XP o versiones anteriores durante la remediación. Retire estos dispositivos de su red debido al riesgo de que se produzca un nuevo brote.

    Esta lista de sistemas operativos irá cambiando a medida que las versiones de Windows dejen de ser compatibles. Para obtener más información sobre nuestros requisitos actuales del sistema, consulte Requisitos del sistema de Sophos Central Windows Endpoint o Requisitos del sistema de Sophos Central Windows Server.

Definir el alcance del problema

No dé por sentado que todos los dispositivos de su red están protegidos y que conoce todos los dispositivos de su red. Hay muchas maneras de identificar los dispositivos en su red, y es posible que ya tenga métodos para hacerlo. La opción que mejor se adapte a sus necesidades depende del tamaño y la segmentación de la red.

Uno de los métodos más comunes es hacer un escaneado de la red y detectar lo que hay en ella en ese momento.

Para ello, puede utilizar herramientas de terceros, como Advanced IP Scanner.

Si no quiere utilizar una herramienta de terceros, puede utilizar Source of Infection, una herramienta gratuita de Sophos. No es un producto antivirus, y no detectará ni eliminará ningún malware. Si lo deja funcionando en un dispositivo, registrará todos los archivos que se escriban en él. Genera un archivo de registro que contiene una lista de cada archivo escrito. Para cada archivo, el archivo de registro contiene la ruta completa del archivo, la fecha y la hora de escritura, y si un proceso local o de red lo escribió. Para los procesos locales, muestra el nombre y la ruta del archivo que lo escribió. Para un proceso de red, muestra la dirección IP remota o el nombre del dispositivo. A continuación, puede utilizar el archivo de registro para identificar los dispositivos que contienen un posible malware no detectado. Por ejemplo, puede utilizarlo para investigar un dispositivo protegido que está recibiendo repetidamente detecciones, incluso después de múltiples intentos de remediación. Las detecciones repetidas indican que otro dispositivo de la red está infectado y está intentando reinfectar su dispositivo protegido. Source of Infection puede ayudarle a encontrar ese dispositivo infectado.

Puede obtener más información sobre Source of Infection en los siguientes artículos de la base de conocimiento:

Para escanear la red, elija una de las siguientes opciones:

  • Use Advanced IP Scanner. Consulte Advanced IP Scanner.

    Se trata de una herramienta gratuita y fácil de usar.

    Captura de pantalla de la herramienta Advanced IP Scanner.

    Genera una lista de dispositivos activos en su red que puede cotejar con los dispositivos listados en su software de administración de Sophos.

  • Para utilizar Source of Infection, haga lo siguiente:

    1. Descargue Source of Infection; consulte SourceOfInfection.zip.
    2. Mueva el zip al dispositivo que desea investigar.
    3. Extraiga SourceOfInfection.exe en la raíz de la unidad C.
    4. Abra la línea de comandos como administrador.
    5. Busque SourceOfInfection.exe y ejecútela.
    6. Pulse Intro para ejecutar el comando.

    7. Deje Source of Infection ejecutándose. Para ello, debe dejar abierta la ventana de la línea de comandos.

      Nota

      Es posible que varios dispositivos infectados intenten infectar otros dispositivos de la red. Cuanto más tiempo deje funcionando Source of Infection, más probabilidades tendrá de capturar esta información en el registro.

    8. Cuando se produzca una nueva detección de malware en el dispositivo, detenga Source of Infection cerrando la ventana de la línea de comandos.

      La detección de un nuevo malware puede ocurrir en segundos o en días, dependiendo de su situación.

    9. Revise el archivo de registro para averiguar el origen de la infección. Encontrará el archivo de registro en %temp%\Source of Infection Log.csv.

      El archivo de registro es un archivo CSV que puede abrir en Microsoft Excel o en cualquier editor de texto.

      El ejemplo siguiente muestra dos archivos sospechosos escritos en el dispositivo desde una ubicación de red remota. Estas dos direcciones IP son probablemente dispositivos infectados.

      Ejemplo de archivo de registro de Source of Infection que muestra dos hosts infectados.

    10. Repita este proceso para todos los dispositivos que desee investigar.

    11. Encuentre, aísle y proteja los dispositivos infectados para evitar la propagación de archivos maliciosos.

Comprobar su protección

Sophos tiene configuraciones recomendadas para la protección contra amenazas. Estas utilizan varias capas de protección. Estas opciones de configuración dan protección contra las infecciones y asisten en su limpieza. Para verificar su protección, haga lo siguiente:

  1. Compruebe si está utilizando nuestra configuración recomendada en sus políticas de protección contra amenazas.

    Puede encontrar más información sobre estos ajustes en los siguientes enlaces:

  2. Si no está utilizando nuestra configuración recomendada, actívela en sus políticas de protección contra amenazas.

  3. Si no desea utilizar todas las opciones de configuración recomendadas, debe activar la opción que envía datos sobre archivos sospechosos y eventos de red a Sophos Central para ordenadores y servidores. Se necesita más adelante en el proceso de remediación. Para ello, haga lo siguiente:

    1. Inicie sesión en Sophos Central Admin.
    2. Haga clic en Endpoint Protection > Políticas y active Permitir que los ordenadores envíen datos sobre archivos sospechosos y eventos de red a Sophos Central.
    3. Haga clic en Server Protection > Políticas y active Permitir que los servidores envíen datos de archivos sospechosos y eventos de red a Sophos Central.

Aplicar los parches en sus dispositivos

Asegúrese de que todos los dispositivos tienen los parches de seguridad de Windows más recientes. Debe asegurarse de incluir el parche para el exploit EternalBlue. TrickBot y Emotet utilizan este exploit como uno de sus métodos de propagación.

EternalBlue es un exploit que se aprovecha de una vulnerabilidad en Microsoft SMB, que fue utilizada notablemente por el ransomware WannaCry para propagarse. Parchear los dispositivos y eliminar este vector de infección dificulta la aparición de TrickBot o Emotet y le protege contra otro malware que utilice EternalBlue.

Microsoft publicó el parche para EternalBlue en la actualización de Microsoft: MS17-010. El artículo oficial de Microsoft explica cómo verificar si un dispositivo tiene dicho parche. Consulte Cómo comprobar que MS17-010 está instalado.

Sophos tiene un sencillo script de PowerShell que puede ejecutarse en ordenadores individuales para confirmar si tienen el parche. Para obtener más información al respecto, consulte Cómo comprobar si un equipo es vulnerable a EternalBlue - MS17-010.

Para parchear sus dispositivos, haga lo siguiente:

  1. Compruebe si sus dispositivos son vulnerables a EternalBlue.
  2. Actualice sus dispositivos con los parches de seguridad de Windows más recientes.

Escanear y limpiar sus dispositivos

Escanee sus dispositivos para averiguar cuántas infecciones de TrickBot o Embotet tiene. A continuación, debe limpiar los dispositivos para evitar reinfecciones.

Para ello, haga lo siguiente:

  1. Asegúrese de que todos los dispositivos están parcheados y tienen instalado Intercept X Advanced.

  2. Ejecute un escaneado completo en todos los dispositivos. Para escanear un dispositivo, haga lo siguiente:

    1. Inicie sesión en Sophos Central Admin.
    2. Haga clic en Endpoint Protection > Políticas o en Server Protection > Políticas.
    3. En Protección contra amenazas, haga clic en la política asignada a los usuarios, equipos o servidores que desee comprobar.
    4. Haga clic en Configuración y desplácese hasta Escaneado programado.
    5. Active la opción Activar escaneado programado.

    6. Establezca una hora para ejecutar el escaneado.

      Para realizar un escaneado, es necesario que los dispositivos estén encendidos y activos.

    7. Desactive Activar escaneado profundo - escanea dentro de archivos comprimidos (.zip, .cab, etc.) y Escanear todos los archivos.

      Debe realizar un escaneado completo para indexar todos los archivos. Estos ajustes adicionales ralentizan la indexación o pueden impedir que el escaneado se complete en algunos dispositivos.

  3. Después del escaneado completo, debe limpiar la infección a través de Sophos Central Admin. Para ello, haga lo siguiente:

    1. Inicie sesión en Sophos Central Admin y haga clic en Centro de análisis de amenazas > Búsquedas de amenazas.

    2. Busque los sitios de inyección de malware más comunes.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*.

    3. Vaya a una de las ubicaciones de descarga de malware y haga clic en Conexiones de red.

      Esto limita la lista a solo los archivos ejecutables que realizan conexiones de red. TrickBot y Emotet intentan propagarse y necesitan realizar conexiones de red.

    4. Busque archivos ejecutables que le llamen la atención o de los que no esté seguro.

    5. Para cada uno de esos archivos, haga clic en Generar nuevo caso de amenaza y Solicitar información más reciente desde el caso de amenaza para obtener más información.
    6. Compruebe los datos y haga clic en Limpiar y bloquear, si es necesario.

    Si necesita más información sobre un archivo, envíe una muestra; consulte Cómo enviar muestras de archivos sospechosos a Sophos.

  4. Compruebe Casos de amenazas y Alertas para verificar las detecciones nuevas y recientes. Busque indicios de detecciones de TrickBot o Emotet.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Compruebe si se han producido las siguientes detecciones:

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC Violation
    • Safe Browsing
    • LoadLib

  6. Repita este proceso para cada archivo en Búsquedas de amenazas.

  7. Limpie los archivos infectados.
  8. Reinicie todos los dispositivos para eliminar las infecciones de la memoria.
  9. Repita estos pasos hasta que no queden restos de TrickBot o Emotet.

Remediación final

Si sigue recibiendo detecciones, significa que hay una infección en un dispositivo de la red.

Las infecciones por TrickBot o Emotet persisten en forma de archivo y sin archivo. Para remediarlas, debe reducir su capacidad de replicación en ambas formas. Para obtener más información sobre el funcionamiento de este malware, consulte Resolución de brotes de malware Emotet y TrickBot.

Para encontrar el resto de dispositivos infectados, haga lo siguiente:

  1. Repita los pasos de este flujo de trabajo.

  2. Si no encuentra el origen de la detección, haga clic en Centro de análisis de amenazas > Búsquedas de amenazas y compruebe las ubicaciones en las que se ha encontrado TrickBot o Emotet.

    • C:\Windows\<A Randomly Named EXE>
    • C:\windows\system32\<A Randomly Named EXE>
    • C:\Windows\Syswow64\<A Randomly Named EXE>
    • C:\stsvc.exe
    • C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
    • C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
    • C:\ProgramData\<Randomly Named EXEs>

  3. Cuando encuentre el archivo ejecutable que está evitando la detección, envíe una muestra.

  4. Si no puede encontrar el archivo ejecutable, póngase en contacto con Sophos MDR Rapid Response.

Vídeo de remediación por infección de TrickBot o Emotet

Este vídeo detalla el flujo de trabajo de remediación por esta infección.