1. Fundamentos Técnicos
El Threat Hunting no es solo buscar malware; es identificar el comportamiento de un atacante humano. Se basa en la búsqueda de TTPs (Tácticas, Técnicas y Procedimientos).
Indicadores de Compromiso (IoC)
Datos objetivos como IPs maliciosas, Hashes de archivos (MD5/SHA256) o nombres de dominio conocidos por campañas de phishing.
Indicadores de Ataque (IoA)
Se centran en la intención: Ejecución de scripts inusuales, movimientos laterales vía SMB o exfiltración de datos.
2. Guía de Ejecución (Paso a Paso)
1 Generación de la Hipótesis
Define qué estás buscando. Una hipótesis efectiva sería: "Un atacante está utilizando PowerShell para descargar scripts desde la red externa y ejecutar persistencia en el Registro de Windows."
2 Recolección de Telemetría
Necesitas visibilidad total. Asegúrate de auditar los siguientes eventos en Windows (Event Viewer):
- ID 4688: Creación de procesos (con línea de comandos habilitada).
- ID 7045: Instalación de un nuevo servicio.
- ID 4624: Inicios de sesión exitosos (verificar logins fuera de horario).
3 Análisis y Cacería (Ejemplo práctico)
Si usas un SIEM o una consola de comandos Linux para analizar logs de servidores, podrías buscar ejecuciones sospechosas de PowerShell:
grep -i "enc" /var/log/windows_sysmon.log | grep "powershell.exe"
Nota: Los atacantes usan "-enc" para ocultar el código malicioso en Base64.
4 Identificación de Movimiento Lateral
Utiliza herramientas como Wireshark para buscar tráfico SMB inusual entre estaciones de trabajo que no deberían comunicarse entre sí.
smb2.filename contains ".exe" || smb2.filename contains ".ps1"
3. Herramientas Recomendadas
| Herramienta | Uso en Hunting |
|---|---|
| Sysmon | Monitoreo avanzado de procesos y red en Windows. |
| Splunk / ELK | Correlación de logs y búsqueda masiva de datos. |
| Velociraptor | Endpoint visibility y respuesta a incidentes en tiempo real. |
| Wireshark | Análisis profundo de paquetes para detectar C2 (Comando y Control). |