CAZA DE AMENAZAS  THREAT HUNTING  ANÁLISIS AVANZADO

"No respondas al ataque. Anticípalo."

🔎 ¿QUÉ ES LA CAZA DE AMENAZAS? (CONSCIENTE Y PROACTIVA)

La Caza de Amenazas (Threat Hunting) no es esperar alertas. Es salir al campo digital a buscar señales de que ya estás siendo atacado. No se basa en reglas conocidas, sino en hipótesis fundamentadas, inteligencia contextual y conocimiento experto.

🧩 No es detección reactiva. Es búsqueda deliberada de actividad maliciosa aún no detectada.

⚙️ CICLO DE CAZA DE AMENAZAS (HUNTING LOOP)

  1. Hipótesis

    • Basada en TTPs conocidos o patrones anómalos esperados.

    • Ejemplo: "Sospechamos uso de PowerShell para persistencia oculta en endpoints sin EDR."

  2. Adquisición de datos

    • Fuentes: SIEM, EDR, NDR, Sysmon, DNS logs, firewall, Active Directory, netflow, honeypots, etc.

  3. Query y análisis

    • Crear queries en lenguaje del SIEM (KQL, SPL, AQL, etc.) para buscar comportamiento sospechoso.

  4. Confirmación de hallazgos

    • Verificación con técnicas de Threat Intelligence, sandbox, análisis estático/dinámico, análisis forense.

  5. Respuesta táctica inmediata

    • Si hay IOC confirmados → Contención, erradicación, alerta de IR.

  6. Documentación y aprendizaje

    • Lecciones aprendidas, hardening, nuevas reglas de detección, actualización de playbooks.

🧠 TIPOS DE CAZA

  • Basada en inteligencia (TI) Se usa un IOC, TTP o CVE nuevo para verificar si ha sido explotado internamente. Buscar si el CVE-2023-23397 (Outlook exploit) se ha aprovechado.
  • Basada en anomalías Se identifican comportamientos que no son normales. Ejecuciones de PowerShell con codificación base64 a las 3 a.m. en hosts de usuarios comunes.
  • Basada en comportamiento Se buscan patrones o cadenas de eventos conocidos de APTs. Patrones de "living off the land" (LOLbins) y movimiento lateral de APT29.

📡 INTELIGENCIA DE AMENAZAS COMO MOTOR DEL HUNTING

  • Fuentes estratégicas: MISP, VirusTotal, Shodan, AlienVault OTX, CISA KEV, MITRE ATT&CK, GreyNoise.

  • TI técnica: IOC, hashes, IPs, dominios, firmas YARA, reglas Sigma.

  • TI táctica: TTPs, scripts comunes, flujos de ataque.

  • TI operacional: ¿Qué actores están activos? ¿A quién están atacando? ¿Qué campañas están en curso?

Un buen hunter traduce una APT reportada en TI estratégica → en queries funcionales para su red real.

🛠️ HERRAMIENTAS AVANZADAS DE HUNTING

  • Velociraptor Endpoint visibility + live hunting. Excelente para buscar comportamientos anómalos en endpoints.
  • Sigma Rules + Elastic/Kibana Detección de comportamiento con reglas universales traducidas a SIEMs.
  • Splunk + SPL Análisis profundo de logs, eventos, red. Fundamental para queries complejas.
  • YARA + Cuckoo Sandbox Análisis de malware detectado durante hunting (descubrimiento y validación).
  • Sysmon + WEF (Windows Event Forwarding) Recopilación granular de eventos en entornos Windows.
  • Osquery Consulta estructurada tipo SQL sobre endpoints (procesos, usuarios, conexiones activas…).

🕵️‍♀️ EJEMPLO REAL DE PROCESO DE HUNTING

Hipótesis: "Los actores de amenazas están usando rundll32.exe para ejecutar DLLs maliciosas en la red."

  1. Query: rundll32.exe ejecutando DLLs desde ubicaciones no estándar → analizar procesos hijos, duración, rutas inusuales.

  2. Filtrar: buscar DLLs en %TEMP%, %APPDATA%, %PUBLIC%, no firmadas.

  3. Correlacionar: con actividad de red sospechosa posterior (C2).

  4. Detectar: host comprometido → EDR, captura de memoria, extraer DLL y analizar.

  5. Responder: contener host, extraer IOC, generar YARA/Sigma, reforzar EDR.

🧠 TÉCNICAS DE MANIOBRA Y ENGAÑO

  • Caza pasiva: uso de NetFlow, Zeek y logs sin tocar el endpoint.

  • Engaño intencionado: se dejan señuelos (decoy accounts, fake creds, honeyfiles) y se monitoriza acceso.

  • Honeytokens + CanaryTokens: strings señuelo que si se tocan, disparan una alerta.

  • WildNet: ambiente sandbox realista donde se ejecuta el comportamiento sospechoso para observar al atacante en acción sin riesgo.

📊 EVIDENCIA DE ÉXITO DEL HUNTING

  • IOC descubiertos que no habían sido detectados previamente.

  • Nuevas reglas Sigma implementadas.

  • Hardening del entorno.

  • Disminución del tiempo medio de detección (MTTD) a través de patrones observados.

  • Formación de hipótesis más certeras con base en inteligencia propia.

🧬 BONUS: MODELO MENTAL PARA HUNTERS

  • Piensa como el adversario: ¿Dónde me escondería si fuera un APT?

  • Habla en TTPs, no en IOCs: No busques una IP, busca el comportamiento.

  • Haz del SIEM tu espada, no tu escudo.

  • La red no miente. Los logs tampoco. Solo hay que saber mirar.


CURIOSIDADES AVANZADAS DE CAZA DE AMENAZAS

"Lo que no ves, también puede matarte."

1. 🧬 Threat Hunting ≠ Detección tradicional

Mientras los SIEMs buscan eventos conocidos (basados en firmas, reglas o anomalías), los threat hunters trabajan con incertidumbre, intuición técnica, y lógica adversarial. No buscan un evento, buscan comportamientos sospechosos, secuencias anómalas y vacíos de cobertura.

Ejemplo:

  • El SIEM detecta un login fallido repetido.

  • El hunter ve que ese login viene de un host sin historial de acceso al sistema → y ese host está usando un agente de monitoreo interno como proxy.

  • El SIEM no lo ve. El hunter sí.


2. 🕸️ La mayor parte del malware moderno no tiene IOC detectables

Más del 60% del malware actual está fileless, usa LOLbins y no genera alertas. Solo puedes detectarlo si cazas TTPs, como:

  • rundll32.exe llamando a código desde PowerShell.

  • regsvr32.exe ejecutando scripts vía mshta.

  • powershell.exe con cadenas base64 y llamadas a URLs sin User-Agent.


3. 🧪 La caza de amenazas se prueba, no se asume

Si crees que estás seguro, prueba tu red contra ti mismo.

Muchos equipos creen estar protegidos... hasta que se hace una sesión de threat hunting y se descubren:

  • Hosts con TeamViewer oculto instalado manualmente.

  • Usuarios con privilegios de administrador local sin justificación.

  • Scripts en .vbs haciendo llamadas externas desde carpetas TEMP.


4. 🎯 No busques lo obvio. Busca lo que no debería estar ahí.

Una buena práctica es cambiar el paradigma del hunting a esta pregunta:

"¿Qué cosas pasan una sola vez en un entorno donde las cosas siempre deberían repetirse?"

📍 Ejemplos:

  • Solo un host accede a un puerto 4444/tcp → ¿por qué?

  • Solo un proceso hace DNS a un dominio .tk → ¿qué script lo ejecutó?

  • Solo un usuario dispara reglas DLP una vez → ¿fue prueba o accidente?


5. 🛡️ La caza ofensiva se vuelve defensa activa cuando documentas

Cada vez que encuentras algo que no sabías que estaba pasando en tu red, puedes convertir ese conocimiento en:

  • Reglas Sigma

  • Reglas YARA

  • Playbooks de contención

  • Consultas KQL/SPL reutilizables

  • Alertas en EDR

La caza de amenazas bien hecha reduce el "tiempo de ceguera" de tu sistema.


6. 📊 Caza de amenazas ≠ Solo técnica: también estratégica

Un hunter de élite también aporta valor a:

  • Justificación de inversiones: "Si no tuviera este EDR, esto no lo vería."

  • Mapeo de cobertura ATT&CK: ¿Qué técnicas no puedo ver hoy?

  • Mejora de políticas: ¿Qué políticas de logs me impiden ver esto?

  • Awareness del negocio: ¿Estamos realmente preparados para un ataque persistente?


7. 💡 Hunting puede hacerse con recursos limitados

Aunque tengas un entorno sin SIEM, sin EDR y sin presupuesto, puedes cazar así:

  • Instalar Sysmon con configuración avanzada de SwiftOnSecurity.

  • Recolectar eventos críticos con wevtutil y enviar a un servidor central.

  • Buscar en logs con PowerShell (Get-WinEvent) o grep en Linux.

  • Analizar tráfico con Wireshark, Zeek o incluso tcpdump.


8. 🐍 Los adversarios ya están cazando contigo

Los atacantes también hacen "hunting", pero sobre ti. Si un atacante ya está dentro, está buscando datos valiosos, errores de configuración, equipos sin protección…

Cada día que no cazas, el atacante lo hace por ti.


9. 🧠 Cazar bien te vuelve invulnerable a la paranoia

Los mejores threat hunters no son los que ven fantasmas, sino los que pueden demostrar que no hay nada donde antes había algo. Ser hunter reduce el miedo porque aumenta el control real.


10. 🪞 Ejercicios mentales de un hunter avanzado

Hazte estas preguntas para elevar tu mente cazadora:

  • ¿Dónde escondería un backdoor sin acceso físico?

  • ¿Cómo haría exfiltración sin levantar una sola alerta?

  • ¿Qué carpeta tiene permisos mal heredados que nadie revisa?

  • ¿Cómo usaría tareas programadas para persistencia silenciosa?

  • ¿Qué binarios firmados puedo abusar sin que lo noten?


🧪 BONUS: KIT DE SUPERVIVENCIA PARA UN HUNTER ÉLITE

  • ☁️ MITRE ATT&CK Navigator (online)

  • 🧠 Sigma Rule repository

  • 🔍 YARA cheat sheets

  • 🧰 Threat Hunting Project by SANS

  • 🔄 Live Forensics con Velociraptor

  • 📊 Splunk Security Essentials

  • 📚 Threat Hunting MITRE Workbook

  • ⚔️ Atomic Red Team: para testear TTPs reales en entornos controlados

Caza de Amenazas Nivel Avanzado - Tácticas Avanzadas Purple Team

🕵️‍♀️ 1. Hunting Basado en Hipótesis: Hipótesis Zero-Day

Los mejores hunters no esperan indicadores conocidos. Formulan hipótesis como:

  • "¿Y si alguien logró entrar vía una vulnerabilidad en el VPN que aún no conocemos?"

  • "¿Qué pasaría si ya tienen persistencia en dispositivos BYOD sin EDR?"

  • "¿Cómo sería un ataque de exfiltración lenta usando canales legítimos (OneDrive, Slack, Teams)?"

💡 Acción avanzada: diseña hipótesis en base a nuevas CVEs publicadas y verifica si tienes exposición antes de que aparezca una alerta en el SIEM.


🧱 2. Caza en Ambientes Cloud y Híbridos (Azure, AWS, GCP)

La mayoría de los hunters no revisan logs en la nube hasta que es demasiado tarde. Claves avanzadas:

  • CloudTrail (AWS): busca acciones inusuales como CreateUser desde un país no habitual o IAM AttachPolicy fuera de horario.

  • Azure Log Analytics: detecta uso anómalo de AzCopy o creación de App Registrations.

  • Google Cloud: investiga creación de nuevas Service Accounts o IAM bindings fuera del baseline.

🔐 Detección avanzada: ataques usando credenciales robadas para acceder a la nube sin malware → solo detectable por comportamiento.


🧨 3. Caza de "Living Off The Land" (LoLbas/LOLBins)

Lo que parece legítimo… podría ser un ataque.

🔎 Ejemplos sofisticados:

  • certutil.exe descargando malware desde HTTPS.

  • msbuild.exe ejecutando código C# embebido.

  • rundll32.exe invocando javascript:alert('') desde una DLL renombrada.

  • wmic haciendo llamadas WMI a otros hosts (movimiento lateral sigiloso).

📌 LoLbas + TTP conocidos = firmas invisibles a AV/EDR que solo los hunters cazan.


📡 4. Hunting en entornos donde no hay visibilidad

¿Qué pasa si no tienes EDR, SIEM ni logs completos?

🎯 Técnicas ninja:

  • Dump manual de logs (wevtutil, journalctl, last, bash_history).

  • Volcado de memoria (FTK Imager, Volatility, Memoryze) → análisis fuera de banda.

  • Sysinternals (Procmon, PsList, Autoruns) en vivo para analizar persistencia.

  • Análisis de procesos residentes + conexiones abiertas (netstat -ano, lsof -i, ss).

💡 Consejo de élite: monta un entorno paralelo para examinar las imágenes de disco comprometido, sin contaminar evidencias.


🧬 5. TTP Mutation Hunting

Los APTs evolucionan. Si solo cazas con base en TTP conocidos tal como aparecen en ATT&CK, te estás perdiendo lo nuevo.

🧠 Técnicas:

  • Crear mutaciones de técnicas: T1059.001 (PowerShell) mutado para ejecutarse en wscript o cscript por proxy.

  • TTP fusionado: Credential Dumping (T1003) + Lateral Movement via WMI (T1047) dentro de un solo script.

  • TTP encubierto: Uso de sqlite para exfiltrar tokens del navegador en lugar de Mimikatz.

📚 Caza avanzada: observar tendencias de ataque, no solo firmas.


🛠️ 6. Threat Hunting con Velociraptor

Velociraptor es un framework de DFIR + threat hunting en tiempo real.

  • Query language similar a SQL (VQL) para buscar artefactos sospechosos.

  • Permite realizar colecciones live de:

    • Registros de eventos.

    • Hashes de binarios.

    • Autoruns.

    • Persistencia en el registro.

🎯 Ejemplo VQL:

sqlCopiarSELECT * FROM Artifact.Windows.Detection.Yara.Scanner WHERE yara_rule = 'rule suspicious : malware { strings: $a = "powershell.exe" condition: $a }'

📌 Úsalo para detección avanzada sin necesidad de SIEMs costosos.


🐍 7. Caza Ofensiva (Red Team que hace Threat Hunting)

La amenaza real se entiende mejor desde dentro. Hunters de élite aplican lógica Red Team:

  • "¿Cómo me movería si ya estoy dentro?"

  • "¿Qué logs borrarían mis pasos?"

  • "¿Cómo dejaría un segundo punto de acceso?"

🎯 Resultado: cazas como el atacante → encuentras lo que otros no ven.


📈 8. Threat Intelligence Fusion: Hunting que aprende

Conecta tu hunting con fuentes de inteligencia de amenazas:

  • Integración de feeds MISP, OTX, VirusTotal, Shodan.

  • Correlación de hashes, IPs, TTPs con tu entorno interno.

  • Creación de IOCs propios tras cada caza → enriquecer tu defensa.

📌 Cazador profesional ≠ consumidor de inteligencia. Es generador.


🧠 9. Caza para CISO y Gestión Estratégica

Los mejores hunters alimentan la estrategia:

  • Informes ejecutivos: ¿Qué detectamos que evitó una brecha?

  • Justificación de presupuestos: "Esta amenaza no fue detectada por X herramienta, pero sí por este hunter."

  • Roadmap de hardening: A partir de findings → decisiones de arquitectura.


📖 10. Manual de Buenas Prácticas para Caza de Amenazas Élite

Nivel Práctica avanzada

  • 🟢 Básico  – Tener hipótesis claras y documentación estándar
  • 🟡 Medio  – Usar MITRE ATT&CK + SIGMA para crear tus propias reglas
  • 🔴 Avanzado  – Mutar TTPs, cazar sin IOC, aplicar evasión Red Team para entender huecos
  • 🟣 Experto  – Correlación Cloud + Endpoint + Red + Logs + OSINT en tiempo real
  • Maestro  – Transformar findings en política, arquitectura, detección y estrategia CISO 
Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar