⚙️ Proceso de Threat Hunting
El proceso de Threat Hunting consiste en una serie de fases iterativas y analíticas que combinan inteligencia, hipótesis y análisis de datos para detectar amenazas avanzadas que evaden las defensas automatizadas.
🧱 1️⃣ Setting the Stage — Preparación
En esta fase se planifica la caza, se definen los objetivos y se preparan las herramientas (SIEM, EDR, IDS).
También se habilitan registros detallados y se revisan las amenazas actuales y TTPs conocidos.
🧩 Ejemplo:
-
Analizar reportes de inteligencia recientes.
-
Identificar activos críticos.
-
Configurar SIEM y EDR para capturar logs relevantes.
-
Unirse a comunidades de threat sharing.
🧩 2️⃣ Formulating Hypotheses — Formulación de hipótesis
Se crean hipótesis específicas y comprobables basadas en inteligencia o señales del entorno.
🧩 Ejemplo:
“Un APT está explotando una vulnerabilidad en el servidor web para establecer un canal C2 (Command & Control).”
🔍 3️⃣ Designing the Hunt — Diseño de la caza
Se define qué fuentes de datos se analizarán, qué herramientas se emplearán y qué indicadores se buscarán.
🧩 Ejemplo:
-
Revisar logs del servidor web, DNS o EDR.
-
Buscar IoCs (IPs, hashes, dominios maliciosos).
-
Usar OSINT y threat feeds para correlación.
📊 4️⃣ Data Gathering & Examination — Recolección y análisis
Aquí ocurre la “caza activa”: se recolectan y examinan datos buscando evidencia que confirme o descarte la hipótesis.
🧩 Ejemplo:
-
Analizar tráfico de red sospechoso.
-
Buscar accesos no autorizados o procesos anómalos.
-
Usar herramientas como Wireshark, Sysmon o Splunk.
🧠 5️⃣ Evaluating Findings — Evaluación de resultados
Se interpretan los hallazgos para validar la hipótesis y determinar el alcance o impacto.
🧩 Ejemplo:
-
Confirmar intentos de fuerza bruta desde IPs externas.
-
Detectar conexiones C2 con dominios maliciosos.
-
Documentar los sistemas afectados.
🧹 6️⃣ Mitigating Threats — Mitigación
Si se confirma una amenaza, se aplican medidas correctivas para eliminarla y prevenir su propagación.
🧩 Ejemplo:
-
Aislar el host comprometido.
-
Eliminar malware detectado.
-
Aplicar parches o reforzar configuraciones.
🧾 7️⃣ After the Hunt — Documentación y mejora
Se documentan los resultados, se actualizan reglas de detección y se comparten hallazgos con otras áreas o equipos SOC.
🧩 Ejemplo:
-
Agregar nuevos IoCs a la base de datos interna.
-
Mejorar los playbooks de respuesta.
-
Ajustar políticas de seguridad.
🔄 8️⃣ Continuous Learning — Aprendizaje continuo
Cada caza aporta lecciones para mejorar futuras operaciones, herramientas y técnicas.
🧩 Ejemplo:
-
Incorporar aprendizaje automático.
-
Actualizar detecciones basadas en comportamiento.
-
Participar en entrenamientos y comunidades de caza.
🧬 Caso práctico: Threat Hunting contra Emotet
Aplicando el proceso anterior para cazar Emotet, un malware modular y altamente evasivo:
| Fase | Acción |
|---|---|
| 🧱 Preparación | Investigación de campañas y TTPs de Emotet; identificación de endpoints y servidores vulnerables. |
| 💡 Hipótesis | Emotet distribuye adjuntos maliciosos en correos desde cuentas comprometidas. |
| 🧩 Diseño | Analizar logs de correo, tráfico de red y sandbox de archivos sospechosos. |
| 📊 Recolección | Buscar adjuntos .docm con macros, tráfico HTTP hacia dominios C2. |
| 🧠 Evaluación | Confirmar actividad C2 o intentos de exfiltración. |
| 🧹 Mitigación | Aislar hosts, eliminar payloads y bloquear dominios C2. |
| 🧾 Post-hunt | Documentar IoCs nuevos y actualizar detecciones en SIEM. |
| 🔄 Aprendizaje | Mejorar detección con análisis de comportamiento y nueva inteligencia. |