Walkthroughs, incident response y threat hunting con malware real
Analizar malware en un laboratorio es una cosa. Enfrentarse a un incidente real con presión de tiempo, datos incompletos y stakeholders esperando respuestas es otra muy distinta. Esta serie presenta casos de uso reales (anonimizados) donde recorremos cada paso del análisis: desde la primera alerta hasta el informe final, con las herramientas, decisiones y errores que surgen en el camino.
Bloque 1: Walkthroughs de análisis (artículos 1-5) Análisis detallado de muestras reales: triaje, análisis estático, análisis dinámico, extracción de IOCs y generación de reglas de detección.
Bloque 2: Incident Response (artículos 6-10) Casos de respuesta a incidentes: contención, erradicación, recuperación y lecciones aprendidas. Ransomware, BEC, supply chain y exfiltración.
Bloque 3: Threat Hunting (artículos 11-15) Caza proactiva de amenazas: hipótesis, fuentes de datos, queries, pivoting y documentación de hallazgos.
Bloque 4: Investigaciones End-to-End (artículos 16-20) Flujos completos desde la detección inicial hasta el informe ejecutivo: correlación de inteligencia, atribución y recomendaciones de mitigación.
Intermedio a avanzado. Se asumen conocimientos básicos de análisis de malware, redes y sistemas operativos. Cada artículo incluye las herramientas utilizadas y los comandos ejecutados.
Walkthrough completo de un ataque phishing con documento Word malicioso que descarga un Cobalt Strike beacon. Análisis del email, macro VBA, PowerShell cradle, beacon C2 y extracción de IOCs con mapeo MITRE ATT&CK.
Proceso completo de triaje de un dropper Emotet: análisis del email con thread hijacking, extracción de DLL, análisis de comportamiento, mapeo de infraestructura C2, extracción de IOCs y creación de reglas Sigma y YARA para detección.
Caso completo de respuesta a incidente LockBit 3.0: desde la alerta EDR inicial hasta la recuperación. Contención, investigación forense, timeline de movimiento lateral, cifrado, exfiltración, comunicación con stakeholders, IOCs y post-mortem detallado.
Guía completa de threat hunting para detectar Cobalt Strike beacons en red. Indicadores de red (JA3/JA3S, user-agent, URI, sleep/jitter), memoria, named pipes, malleable C2 profiles. Hunting con Zeek, Suricata, YARA, Sigma y Volatility.
Análisis completo de RedLine Stealer: desde la descarga de software crackeado hasta la exfiltración de credenciales. Análisis estático de binario .NET, dinámico en sandbox, robo de credenciales de navegador, wallets crypto, exfiltración HTTP POST, análisis de memoria y reglas de detección.
Caso de respuesta a incidente con Qakbot desde el email inicial con HTML smuggling hasta el intento de ransomware. Cadena completa: ISO container, DLL sideloading, C2, Cobalt Strike, movimiento lateral, contención y lecciones aprendidas.
Guía práctica de threat hunting para detectar movimiento lateral en redes corporativas. Hypothesis-driven hunting con Sysmon events, detección de PsExec, WMI lateral, RDP anomalías y Pass-the-Hash. Queries para Splunk y Elastic.
Caso práctico de infección por cryptominer TeamTNT a través de Docker API expuesto. Acceso inicial, persistencia via crontab y systemd, despliegue de XMRig, credential harvesting, propagación a contenedores y limpieza completa del servidor.
Análisis paso a paso de un ataque supply chain mediante paquete npm malicioso por typosquatting. Descubrimiento, análisis del código ofuscado, exfiltración via postinstall, evaluación de impacto, respuesta al incidente y prevención con lockfiles, SBOM y políticas de registro.
Caso completo end-to-end desde una alerta EDR por PowerShell sospechoso hasta el informe ejecutivo final. Triage, investigación, escalación, contención, erradicación, recuperación, lecciones aprendidas y redacción del informe para dirección.
Investigación completa de un incidente BlackCat/ALPHV con doble extorsión: análisis del binario Rust, exfiltración de datos, leak site, negociación con el grupo, timeline de respuesta a incidentes, IOCs y mapeo MITRE ATT&CK.
Análisis completo de la explotación masiva de MOVEit Transfer por Cl0p: SQL injection CVE-2023-34362, despliegue de webshell LEMURLOOT, robo de datos sin cifrado, modelo de extorsión único, timeline de respuesta, IOCs y mapeo MITRE ATT&CK.
Reconstrucción completa de un ataque Conti: acceso inicial vía BazarLoader, despliegue de Cobalt Strike, reconocimiento con ADFind, credential harvesting con Mimikatz, exfiltración con Rclone y cifrado con Conti ransomware en 72 horas. Timeline detallado, IOCs y mapeo MITRE ATT&CK.
Guía completa sobre DLL sideloading en entornos corporativos: qué es la técnica, aplicaciones legítimas abusadas, hunting con Sysmon, detección con reglas Sigma, caso de estudio real con timeline de investigación, IOCs y mapeo MITRE ATT&CK T1574.002.
Análisis completo de la técnica de process hollowing: API calls involucradas (CreateProcess SUSPENDED, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread), detección con Volatility (malfind, hollowfind), análisis forense de memoria, caso de estudio, IOCs y mapeo MITRE ATT&CK T1055.012.
Investigación completa de robo de credenciales vía LSASS dump: técnicas de volcado (Mimikatz, ProcDump, comsvcs.dll, nanodump), detección con Sysmon Event ID 10 y reglas Sigma, investigación forense, contención con reset de KRBTGT, IOCs y mapeo MITRE ATT&CK T1003.001.
Guía completa sobre persistencia WMI y event subscriptions para hunting en el SOC: fundamentos de WMI, suscripciones de eventos para persistencia, movimiento lateral vía WMI, hunting con PowerShell y Sysmon, detección con reglas Sigma, limpieza de artefactos, IOCs y mapeo MITRE ATT&CK T1546.003.
Análisis forense completo de un rootkit LKM Diamorphine en servidor cloud Linux. Técnicas de ocultación de procesos, ficheros y conexiones de red, detección con unhide, rkhunter y análisis de /proc, limpieza y hardening del kernel.
Investigación completa de web shells en servidores Apache y Nginx. Tipos de web shells (PHP, JSP, ASPX), China Chopper, detección mediante integridad de ficheros, análisis de logs, YARA, contención, limpieza y hardening de servidores web.
Guía completa de detección y respuesta ante Log4Shell (CVE-2021-44228). Cómo funciona la explotación JNDI lookup, detección con WAF, SIEM y escaneo de logs, parcheado, IOCs y estrategias de hunting a largo plazo con MITRE ATT&CK.
Análisis forense completo de un compromiso de Microsoft Exchange mediante las cadenas de vulnerabilidades ProxyShell y ProxyLogon. Despliegue de web shells, movimiento lateral, exportación de buzones, detección, forense y respuesta al incidente.
Guía práctica para usar ANY.RUN en el triaje de ficheros sospechosos. Desde la subida de un sample hasta la extracción de IOCs en 5 minutos: proceso del análisis, árbol de procesos, tráfico de red, ficheros creados, alertas Suricata, mapeo MITRE y diferencias entre plan gratuito y de pago.
Análisis avanzado con CAPE Sandbox para extraer la configuración completa de AgentTesla: servidores C2, credenciales SMTP, FTP, tokens Telegram, análisis behavioral, reglas YARA activadas y comparación con ANY.RUN. IOCs completos y mapeo ATT&CK.
Guía completa de VirusTotal Intelligence para threat hunting: Livehunt con reglas YARA, Retrohunt, Graph explorer, pivoting por imphash, ssdeep e infraestructura C2. Construir un cluster de campaña a partir de una sola muestra, con IOCs accionables.
Análisis completo de técnicas de container escape en Docker: contenedores privilegiados, montaje del host filesystem, exploits del kernel, vulnerabilidades runC. Detección con Falco y auditd, contención, forense de contenedores, hardening y mapeo ATT&CK.