Logs en Apps & Endpoints

En el campo de batalla digital, las verdaderas huellas del adversario no siempre se encuentran en los eventos del sistema operativo. A menudo se esconden en los registros generados por las propias aplicaciones y las soluciones de protección de endpoints, donde el atacante comete pequeños errores, deja anomalías, o lanza herramientas que terminan revelando su presencia.

Aquí es donde empieza tu búsqueda.

🔍 1. Rastreo en Registros de Aplicaciones

Cada aplicación tiene su propio lenguaje y forma de hablarte. Algunas se integran con el sistema operativo (por ejemplo, escribiendo en el Visor de Eventos de Windows o usando syslog en Linux), mientras que otras guardan sus mensajes en archivos crudos y formatos opacos. Como cazador digital, tu tarea es saber:

  • Dónde se guardan sus logs.

  • Qué estructura tienen.

  • Cómo interpretar sus mensajes para detectar comportamientos sospechosos.

Ejemplos prácticos de hunting en aplicaciones:

  • 🧾 Bases de datos (SQL, MongoDB, etc.) → Busca inyecciones SQL fallidas, conexiones desde IPs externas, accesos fuera de horario, y escaladas de privilegios.

  • 🧾 Servidores web (Apache, Nginx, IIS) → Revisa los logs de acceso y error en busca de URIs extraños, cadenas con caracteres de inyección (../, %20, <script>), y métodos HTTP inusuales como PUT, DELETE o OPTIONS.

  • 🧾 Aplicaciones personalizadas o legacy → Muchas veces, el atacante prueba rutas de login o bypass manuales. Si los logs están bien hechos, verás patrones repetitivos, errores 500, fallos de autenticación, y uso excesivo de endpoints no documentados.

Como norma, recolecta logs de todas las aplicaciones críticas, revisa si se integran con tu SIEM y evalúa la frecuencia de errores, el volumen de peticiones y la tasa de autenticación fallida. Estos tres ejes te dirán si algo no va bien.

🛡️ 2. Detección en Registros de Seguridad de Endpoints

Los verdaderos guardianes de cada host son los agentes EDR, XDR y EPP que actúan como centinelas ante el malware, el abuso de memoria, la ejecución sospechosa y las técnicas de persistencia.

Tu rutina de caza en estos registros debe contemplar:

a) Detección de Malware y Cuarentena

  • ¿Qué archivos han sido puestos en cuarentena?

  • ¿Qué hash tenían y desde qué proceso fueron lanzados?

  • ¿Fueron bloqueados o permitidos?

  • ¿La acción fue automática o manual?

Cada detección debería enlazarse con un análisis profundo: ¿hubo ejecución previa?, ¿conexión a internet?, ¿intentos de evasión?

b) Análisis de Comportamiento y TTPs

Algunas soluciones modernas ya traducen comportamientos sospechosos en técnicas MITRE ATT&CK. Si un proceso intenta elevar privilegios mediante Token Manipulation o lanza scripts desde PowerShell con argumentos codificados, debes trazar esa actividad y validarla contra usuarios legítimos.

c) Exploración de la Superficie de Vulnerabilidad

Los logs del escáner de vulnerabilidades aportan contexto clave:

  • ¿Qué hosts tienen software sin parches?

  • ¿Qué configuraciones incumplen estándares CIS, STIG, o Benchmarks propios?

  • ¿Cuántas de esas vulnerabilidades están siendo activamente explotadas en la red (según threat intel)?

Esta información se cruza con alertas EDR y tráfico de red para priorizar riesgos reales.

📊 3. Visualización y Priorización en SIEM

Una vez recopilados estos datos:

  • Crea dashboards que visualicen el comportamiento por aplicación y host.

  • Agrupa detecciones por severidad, tiempo y relación con otras alertas.

  • Relaciona registros de endpoints con procesos de red, tráfico anómalo y sesiones activas.

Recuerda: el SIEM no es solo una base de datos glorificada, es tu torre de vigilancia.

🧠 Consejos Avanzados

  • Cruza detecciones EDR con logs de aplicaciones para ver si un ataque explotó una función legítima (por ejemplo, scripts maliciosos dentro de macros de Word o PDFs).

  • Analiza patrones de detección-respuesta para encontrar fallos de cobertura: ¿Hubo ejecución pero sin alerta? ¿Hubo alerta pero no se bloqueó?

  • Si detectas anomalías recurrentes en una aplicación específica, pide una revisión del código o realiza fuzzing interno.

  • Anota la tasa de falsos positivos y falsos negativos por agente y ajusta tus reglas de alerta.

 

Parte Avanzada: Registros de Aplicaciones y Endpoints – Herramientas, Curiosidades y Tácticas de Caza

Vamos ahora con la parte avanzada y más "sabrosa" de los registros de aplicaciones y endpoints: curiosidades, herramientas, usos creativos, correlación avanzada y tips poco conocidos. Esto es lo que separa a un analista junior de un Threat Hunter experimentado que afila el filo de su intuición como un sabueso de amenazas 🐺


🔧 1. Herramientas Potentes para Endpoint & App Log Hunting

🧿 Sysmon (Sysinternals)

  • Añade registros granulares de procesos, conexiones, cambios de hash, y más.

  • Ideal para detectar ejecución anómala: powershell -enc, DLL injection, movimientos laterales.

  • Se integra con SIEM fácilmente.

  • 💡 Pro tip: Usa una config personalizada como la de SwiftOnSecurity para filtrar el ruido y centrarte en los TTPs reales.


🔬 OSQuery

  • Convierte un sistema operativo en una base de datos SQL para consultar procesos, puertos abiertos, servicios, integridad de archivos, etc.

  • Perfecta para endpoints Windows, Linux o macOS.

  • Puedes hacer queries como:

sql
SELECT name, path, cmdline FROM processes WHERE name LIKE '%powershell%'


📊 Elastic Endpoint + Beats

  • Filebeat para registros de aplicaciones.

  • Auditbeat para monitorización de sistema y auditoría.

  • Winlogbeat para registros de eventos Windows.

  • Se conectan a ELK o Security Onion y permiten alertas complejas.


🛡️ Velociraptor

  • Framework de IR y Threat Hunting en endpoints.

  • Ejecuta búsquedas masivas, extrae logs y analiza cambios en el sistema en tiempo real.


🪓 Sigma Rules

  • Reglas universales tipo YARA pero para logs.

  • Puedes crear reglas que se adapten a cualquier SIEM (conversión automática).

  • Ideal para detectar TTPs específicos como:

    • Persistencia en HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    • WMIC con ejecución remota

    • .NET assemblies ejecutadas por rundll32


🕵️‍♂️ 2. Técnicas Avanzadas de Correlación

🔗 Correlación de Logs de Aplicación + EDR

Ejemplo: Si una aplicación web como Nextcloud registra múltiples accesos fallidos desde una IP externa y esa IP aparece en los logs de detección de malware de un endpoint... alarma 🔔.


🔁 Análisis de Comportamiento por Sesión

  • Une eventos de un mismo Session ID o User ID.

  • ¿Una cuenta inicia sesión, ejecuta un script, desactiva el EDR y sube un .RAR? → Compromiso confirmado.


📎 Análisis de Intervalos

Busca procesos que aparecen en intervalos fijos (cada 20 mins, cada hora): esto huele a tareas programadas maliciosas, schtasks, o persistencia tipo At.


🧩 3. Curiosidades & "Hacks mentales" de los registros

🧠 1. El silencio también es sospechoso

  • Si tu endpoint normalmente genera logs cada 5 minutos y de repente hay 2 horas en blanco, probablemente fue apagado o el agente fue neutralizado.


📂 2. Apps con logs no documentados

  • Muchas aplicaciones corporativas generan logs en carpetas como:

    • C:\ProgramData\AppName\Logs\

    • /opt/appname/logs/

  • Herramientas como Log Parser Studio (Windows) o Grep combinada con awk/jq (Linux) permiten rastrear mensajes raros como:

bash
grep -i "unauthorized" /var/log/app/*log


🎭 3. Logs de endpoints pueden revelar Red Team interno

  • Muchas empresas realizan pruebas de intrusión internas, pero el Blue Team no siempre es avisado.

  • ¿Cómo detectar Red Team si no avisan? Claves:

    • SharpHound.exe (BloodHound)

    • mimikatz en RAM (Sysmon lo puede detectar con Event ID 10)

    • uso masivo de PowerShell con argumentos codificados


🪞 4. Los logs mienten si el reloj está roto

  • Un host sin NTP puede producir eventos desfasados.

  • Un atacante que cambia manualmente el reloj (anti-forense) genera confusión en el timeline.

  • 💡 Usa el SIEM para comparar marcas de tiempo entre eventos de red y de host.


🛠️ 4. Ideas creativas de uso

  • Crear perfiles de comportamiento por usuario basados en logs: si un usuario de contabilidad accede a la app de backups o ejecuta PowerShell, es sospechoso.

  • Detectar errores comunes de configuración en apps que generan logs silenciosos (ej: log_level = WARN en producción oculta errores).

  • Extraer información sensible de logs: muchas veces los devs escriben contraseñas, tokens o rutas internas en los logs por accidente.

    • ⚠️ Prohibido en PCI DSS, HIPAA, etc.


🚀 BONUS: Threat Hunting Quick Wins

Objetivo Fuente principal > Caza rápida
Persistencia Sysmon, Winlogon > Event ID 13 en claves de Run
Escalada de privilegios EDR / Sysmon > ParentImage: explorer.exe → child: cmd.exe /c net localgroup admins
Evasión EDR Logs EDR / Sysmon > powershell.exe -nop -w hidden -enc
Movimiento lateral Logs SMB + EDR > Accesos remotos seguidos de ejecución wmic o psexec
Exfiltración Logs de red + app > curl/wget + archivos grandes saliendo por HTTP 

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar