Walkthroughs, incident response y threat hunting con malware real
Analizar malware en un laboratorio es una cosa. Enfrentarse a un incidente real con presión de tiempo, datos incompletos y stakeholders esperando respuestas es otra muy distinta. Esta serie presenta casos de uso reales (anonimizados) donde recorremos cada paso del análisis: desde la primera alerta hasta el informe final, con las herramientas, decisiones y errores que surgen en el camino.
Bloque 1: Walkthroughs de análisis (artículos 1-5) Análisis detallado de muestras reales: triaje, análisis estático, análisis dinámico, extracción de IOCs y generación de reglas de detección.
Bloque 2: Incident Response (artículos 6-10) Casos de respuesta a incidentes: contención, erradicación, recuperación y lecciones aprendidas. Ransomware, BEC, supply chain y exfiltración.
Bloque 3: Threat Hunting (artículos 11-15) Caza proactiva de amenazas: hipótesis, fuentes de datos, queries, pivoting y documentación de hallazgos.
Bloque 4: Investigaciones End-to-End (artículos 16-20) Flujos completos desde la detección inicial hasta el informe ejecutivo: correlación de inteligencia, atribución y recomendaciones de mitigación.
Intermedio a avanzado. Se asumen conocimientos básicos de análisis de malware, redes y sistemas operativos. Cada artículo incluye las herramientas utilizadas y los comandos ejecutados.
Walkthrough completo de un ataque phishing con documento Word malicioso que descarga un Cobalt Strike beacon. Análisis del email, macro VBA, PowerShell cradle, beacon C2 y extracción de IOCs con mapeo MITRE ATT&CK.
Proceso completo de triaje de un dropper Emotet: análisis del email con thread hijacking, extracción de DLL, análisis de comportamiento, mapeo de infraestructura C2, extracción de IOCs y creación de reglas Sigma y YARA para detección.
Caso completo de respuesta a incidente LockBit 3.0: desde la alerta EDR inicial hasta la recuperación. Contención, investigación forense, timeline de movimiento lateral, cifrado, exfiltración, comunicación con stakeholders, IOCs y post-mortem detallado.
Guía completa de threat hunting para detectar Cobalt Strike beacons en red. Indicadores de red (JA3/JA3S, user-agent, URI, sleep/jitter), memoria, named pipes, malleable C2 profiles. Hunting con Zeek, Suricata, YARA, Sigma y Volatility.
Análisis completo de RedLine Stealer: desde la descarga de software crackeado hasta la exfiltración de credenciales. Análisis estático de binario .NET, dinámico en sandbox, robo de credenciales de navegador, wallets crypto, exfiltración HTTP POST, análisis de memoria y reglas de detección.
Caso de respuesta a incidente con Qakbot desde el email inicial con HTML smuggling hasta el intento de ransomware. Cadena completa: ISO container, DLL sideloading, C2, Cobalt Strike, movimiento lateral, contención y lecciones aprendidas.
Guía práctica de threat hunting para detectar movimiento lateral en redes corporativas. Hypothesis-driven hunting con Sysmon events, detección de PsExec, WMI lateral, RDP anomalías y Pass-the-Hash. Queries para Splunk y Elastic.
Caso práctico de infección por cryptominer TeamTNT a través de Docker API expuesto. Acceso inicial, persistencia via crontab y systemd, despliegue de XMRig, credential harvesting, propagación a contenedores y limpieza completa del servidor.
Análisis paso a paso de un ataque supply chain mediante paquete npm malicioso por typosquatting. Descubrimiento, análisis del código ofuscado, exfiltración via postinstall, evaluación de impacto, respuesta al incidente y prevención con lockfiles, SBOM y políticas de registro.
Caso completo end-to-end desde una alerta EDR por PowerShell sospechoso hasta el informe ejecutivo final. Triage, investigación, escalación, contención, erradicación, recuperación, lecciones aprendidas y redacción del informe para dirección.