Red Team Tools con valor defensivo: conoce al enemigo

La tesis: defender sin conocer al atacante es imposible

Sun Tzu tenía razón: "Conoce a tu enemigo y conócete a ti mismo". En ciberseguridad, los mejores defensores son los que entienden las herramientas ofensivas. No para usarlas contra otros, sino para construir detecciones efectivas.

Los APTs reales usan las mismas herramientas que los red teamers: Cobalt Strike, Mimikatz, Impacket, Rubeus. Si sabes cómo funcionan, sabes qué artefactos dejan, qué logs generan y cómo detectarlos.

C2 Frameworks (Command & Control)

Sliver

Repo: BishopFox/sliver Stars: 8,500+ | Estado: muy activo

Framework C2 open source de BishopFox. Escrito en Go. Soporta HTTP/S, mTLS, WireGuard y DNS como protocolos de transporte. Multiplataforma (Windows, Linux, macOS).

Valor defensivo: genera implants con características detectables (tamaño de binario Go, strings específicos, patrones de beaconing). Conocerlas permite escribir YARA rules y Sigma rules efectivas.

Havoc

Repo: HavocFramework/Havoc Stars: 6,500+ | Estado: activo

C2 framework moderno con UI profesional. Soporta sleep obfuscation, indirect syscalls, stack spoofing y técnicas de evasión avanzadas.

Valor defensivo: implementa las técnicas de evasión más recientes. Estudiar su código te enseña qué están evadiendo los atacantes y por qué tus detecciones fallan.

Mythic

Repo: its-a-feature/Mythic Stars: 3,500+ | Estado: activo

Plataforma C2 modular con UI web. Arquitectura de plugins: cada "agent" (payload) es un proyecto separado. Soporta múltiples lenguajes y plataformas.

Valor defensivo: la modularidad permite estudiar agentes individuales sin la complejidad del framework completo.

Credenciales y movimiento lateral

Mimikatz

Repo: gentilkiwi/mimikatz Stars: 19,000+ | Estado: mantenido

La herramienta de extracción de credenciales de Windows más conocida. Extrae passwords en texto plano, hashes NTLM, tickets Kerberos de la memoria de LSASS.

Valor defensivo: cada técnica de Mimikatz tiene una contramedida. Credential Guard bloquea el acceso a LSASS. RunAsPPL protege el proceso. Sysmon Event ID 10 detecta el acceso. Conocer Mimikatz es conocer las contramedidas.

Impacket

Repo: fortra/impacket Stars: 14,000+ | Estado: activo

Colección de scripts Python para protocolos de red Windows: SMB, MSRPC, DCOM, WMI, Kerberos. Usado masivamente por atacantes y pentesters para movimiento lateral.

Valor defensivo: los scripts de Impacket generan patrones de red detectables. wmiexec.py, psexec.py y smbexec.py tienen firmas de red y artefactos de log específicos.

Rubeus

Repo: GhostPack/Rubeus Stars: 4,000+ | Estado: activo

Herramienta de abuso de Kerberos en C#: Kerberoasting, AS-REP Roasting, ticket manipulation, delegation abuse. La referencia para ataques Kerberos.

Valor defensivo: cada ataque Kerberos deja eventos detectables (4769, 4768 con encryption types específicos). Conocer Rubeus = conocer qué eventos monitorizar.

Inyección y evasión

Process Injection Techniques

Varios repos documentan técnicas de inyección de procesos con PoCs:

• Classic DLL injection
• Process Hollowing
• APC Injection
• Early Bird Injection
• Thread Hijacking
• Module Stomping

Valor defensivo: cada técnica tiene un patrón detectable. Sysmon Event 8 (CreateRemoteThread), Event 25 (Process Tampering), y herramientas como Volatility malfind plugin detectan estas técnicas.

BOF (Beacon Object Files)

Repositorios de BOFs para Cobalt Strike y Sliver. Código C compilado que se ejecuta en memoria del beacon sin crear procesos ni escribir en disco.

Valor defensivo: los BOFs evitan detección basada en creación de procesos. Requieren monitorización a nivel de API calls (ETW, syscall hooking) para detección.

Cómo usar estas herramientas para defensa

Testing de detecciones

1. Despliega herramienta en lab aislado
2. Ejecuta la técnica (ej: Mimikatz sekurlsa::logonpasswords)
3. Verifica que tu SIEM/EDR genera alerta
4. Si no → gap de detección → escribir Sigma/YARA rule
5. Si sí → verificar que no es bypass-able

Purple teaming

Combina red team tools con tus detecciones:

• Ejecuta Atomic Red Team + técnica de la herramienta
• Verifica cobertura Sigma
• Documenta gaps
• Escribe nuevas detecciones
• Iterar

Veredicto

No necesitas ser pentester para conocer estas herramientas. Necesitas entender cómo funcionan para defender contra ellas. Sliver/Havoc para entender C2. Mimikatz para entender credenciales. Impacket para entender movimiento lateral. Cada herramienta que estudias te hace mejor defensor.