// INFORME: Guía Técnica de Sysinternals - Análisis Forense y Telemetría
// MÓDULO: 1 - Dominio de Procesos y Sockets
// HERRAMIENTAS: Process Explorer / TCPView
// CLASIFICACIÓN: Blue Team Standard Operations
0x01: Deficiencias del Administrador de Tareas Nativo
He comprobado en múltiples entornos corporativos que el Administrador de Tareas de Windows es insuficiente para detectar amenazas avanzadas.
Bueno, Administrador de Tareas de Windows realmente para esta tarea no vale realmente, así que analizamos...
En mis análisis de practica, lo descarto de inmediato para pasar a herramientas que ofrecen visibilidad sobre inyecciones de código (DLL Injection) y conexiones de Command & Control (C2).
En este estándar de trabajo me baso en LOTL y la suite Sysinternals para realizar Threat Hunting real y troubleshooting de aplicaciones bloqueadas.
0x02: Process Explorer
Al iniciar procexp.exe, mi primer objetivo es analizar la estructura jerárquica.
La relación Padre-Hijo me permite detectar anomalías críticas; por ejemplo, he detectado vectores de ataque donde un proceso word.exe lanza instancias de powershell.exe, una señal inequívoca de compromiso.
Configuración del Entorno de Análisis
Para que el análisis sea válido, configuro la herramienta con parámetros de integridad que garantizan la cadena de confianza:
- Verificación de Firmas Digitales para asegurar que los binarios son originales de Microsoft.
- Integración con la API de VirusTotal para escanear hashes de procesos en tiempo real.
- Ejecución con privilegios de Administrador para acceso completo a los objetos del kernel.
Handles y Librerías DLL
Una funcionalidad que utilizo constantemente es la inspección de Handles y DLLs.
Esto me permite identificar qué archivos tiene "secuestrados" un programa o qué librerías dinámicas ha cargado un proceso sospechoso, facilitando la detección de procesos ocultos o persistencias maliciosas.
0x03: Telemetría de Red y Sockets con TCPView
Cuando Process Explorer ofrece una visión demasiado general del sistema, recurro a tcpview.exe.
Esta herramienta actúa como un sniffer de sockets en tiempo real a nivel de endpoint, mapeando cada conexión TCP/UDP a un PID específico.
SANDBOXING
He analizado el caso práctico de navegadores modernos como Chrome.
Al inspeccionar el proceso de renderizado, he notado que no posee conexiones externas.
Esto se debe a su arquitectura de Sandbox: la pestaña solo dibuja la web, mientras que el proceso "Network Service" es el único con permisos para gestionar el tráfico de red.
0x04: Identificación de Conexiones
He realizado una prueba de laboratorio para identificar conexiones legítimas frente a sospechosas.
Deshabilitando la resolución de nombres (Resolve Addresses) obtengo los datos crudos necesarios para la auditoría:
// HALLAZGOS
PROCESO: chrome.exe (PID: 23016)
PROTOCOLO: TCPv6 / ESTABLISHED
PUERTO REMOTO: 5228 (Google Firebase Cloud Messaging)
VEREDICTO: Tráfico legítimo verificado.
0x05: Conclusiones
La visibilidad total solo se alcanza mediante la correlación.
Mi metodología exige cruzar la información del árbol de procesos de Process Explorer con la actividad de red de TCPView.
Solo así se pueden entender arquitecturas complejas y detectar exfiltraciones de datos que pasarían desapercibidas para un administrador promedio.
"Security is not a product, it's a mindset."
[ EOF ]