Fuentes de Datos de Red para Hunting Avanzado

Estrategias, herramientas, correlación, detección e inteligencia real a partir de logs de red, firewall e IDS/IPS.

🔥 1. Qué puedes cazar desde los logs de red (más allá de lo obvio)

🧭 Detección de lateral movement

  • Switch logs + ARP: si un host cambia su MAC repetidamente, puede ser un intento de ARP Spoofing o suplantación MITM.

  • 💡 Busca múltiples direcciones MAC asociadas a una sola IP en un corto periodo de tiempo.


🦠 Detección de beaconing y C2

  • Firewall logs: si ves conexiones salientes regulares cada 60s-300s hacia una misma IP externa → señal de C2 (Command & Control).

  • Tip: el patrón temporal es más importante que la IP.


📦 Shadow IT y exfiltración

  • Detecta tráfico hacia servicios cloud no aprobados (Dropbox, GDrive, Mega, etc.).

  • Usa logs de proxy/firewall con DLP o reglas de regex para detectar cargas ZIP, RAR, etc. hacia esos dominios.


🧰 2. Herramientas avanzadas para analizar registros de red

Herramienta > Utilidad
  1. Arkime (antes Moloch) Captura de paquetes a gran escala, con interfaz tipo Kibana. Ideal para búsquedas tipo "show me all sessions to IP x.x.x.x over port 443".
  2. Zeek (Bro) IDS pasivo, analiza tráfico y genera logs ricos de eventos (DNS, HTTP, SSL, SMTP, etc.). Ideal para crear detecciones personalizadas.
  3. Suricata IDS/IPS moderno con logs JSON. Integra nativamente con ELK. Soporta reglas de Snort, análisis TLS, y visibilidad completa de red.
  4. Wireshark + tshark Análisis de paquetes para corroborar eventos sospechosos desde logs. tshark se usa para automatizar hunting basado en patrones.
  5. Security Onion Distribución completa con Zeek, Suricata, Wazuh, Kibana y más. Perfecta para labs o SOCs en producción.

🧠 3. Tácticas de caza desde cada fuente de red

🧱 Firewall

  • Reglas de solo log para analizar qué tráfico pasaría si se cambia una política (ideal para red teaming defensivo).

  • Detección de bypass: revisa logs para tráfico inusual que pasa por reglas "allow any" antiguas o mal configuradas.

  • 💡 Busca conexiones entrantes a puertos poco comunes abiertos por error (ej: 5985 - WinRM).


💣 IDS/IPS

  • Correlación con alertas de host: si Suricata detecta ET EXPLOIT y tu EDR no genera evento → evasión.

  • Buscar falsos negativos: si un host genera logs de explotación (ej: Shellshock, Log4j) pero no hay respuesta EDR → alerta crítica.

  • TTP Hunting con Zeek: buscar "user-agent": "curl/7.68.0" y correlacionar con POST a /admin.php por ejemplo.


🌐 Logs DNS (Zeek o Firewall DNS logs)

  • Excelente para detectar:

    • Tunneling DNS

    • Domains generados por DGA

    • Resoluciones hacia dominios poco frecuentes o nunca antes vistos

  • 💡 Herramientas: dnstwist, passivedns, ripestat, y STIX feeds.


📡 Proxy logs (cuando existen)

  • Visibilidad brutal para detectar:

    • Uso de navegadores headless (PhantomJS, Selenium, etc.)

    • Tráfico TOR

    • Carga de documentos sospechosos (.scr, .hta, .vbs) desde Internet.


🕵️‍♀️ 4. Hunting por patrones anómalos y series temporales

📊 Usa análisis estadístico de:

  • Número de conexiones por host/destino/usuario.

  • Variación de los puertos usados en conexiones salientes.

  • Cambios de comportamiento (horarios, frecuencia, volumen).


🎯 Señales de ataque. 

Indicador > Posible amenaza

  • Conexión a IP sin dominio > Infraestructura de C2 oculta
  • Uso de puertos altos TCP salientes > Túneles personalizados
  • 403, 401 en secuencia HTTP > Fuerza bruta o fingerprinting
  • Mismo User-Agent en múltiples sesiones distintas > Script automatizado


🧩 5. Curiosidades poco conocidas

  1. IDS puede detectar errores de programación: como SQL mal formadas, buffer overflow potenciales, etc.

  2. Zeek detecta conexiones SSL sin SNI → útil para detectar malware que evade sandboxing.

  3. Suricata puede extraer archivos automáticamente del tráfico para análisis forense offline (ideal para malware sandbox).

  4. Análisis pasivo con RITA (Real Intelligence Threat Analytics): detecta beaconing a partir de logs Zeek con machine learning simple.

  5. Los logs de NAT ayudan a rastrear hosts internos cuando la IP externa es compartida (clave en redes grandes o ISPs).


🧠 BONUS – Correlaciones Potentes

Origen 1 > Origen 2 > Hallazgo
Log DNS + SIEM > Log EDR > Dominio sospechoso + ejecución de script en PowerShell
Log de firewall > Log de Active Directory > Conexión saliente desde usuario privilegiado fuera de horario
IDS alert + Zeek > HTTP log EDR alert > Payload malicioso que no fue bloqueado pero sí ejecutado 

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar