Threat Hunting - Cheat Sheet by Ooclaar

## O que é Threat Hunting? **Threat Hunting** é uma abordagem proativa de segurança cibernética que envolve a busca ativa por ameaças dentro da rede corporativa, assumindo que adversários já estão presentes no ambiente. Diferente das ferramentas de detecção tradicionais que aguardam alertas, o threat hunting é uma investigação dirigida por hipóteses para identificar atividades maliciosas que podem ter passado despercebidas pelos controles de segurança automatizados. Enquanto a [[Introdução]] é mais analítica e voltada para o passado, o _Threat Hunting_ é investigativo e direcionado para o futuro. Ambos são complementares, mas têm papéis distintos na segurança cibernética. ## Princípios Fundamentais ### 1. Mindset Proativo - **Assume Breach**: Parta do pressuposto de que sua rede já foi comprometida - **Hunt Forward**: Foque em detectar movimentação lateral e persistência - **Continuous Process**: Threat hunting é um processo contínuo, não pontual ### 2. Driven by Intelligence - **Threat Intelligence**: Use IOCs, TTPs e contexto de ameaças conhecidas - **Hypothesis-Driven**: Formule hipóteses baseadas em inteligência e teste-as - **Analytics-Based**: Utilize análise de dados e correlação de eventos ## Metodologias de Threat Hunting ### NIST Cybersecurity Framework Approach 1. **Identificar** - Mapear assets e entender o ambiente 2. **Proteger** - Implementar controles básicos 3. **Detectar** - Monitorar e identificar eventos 4. **Responder** - Executar planos de resposta 5. **Recuperar** - Restaurar capacidades normais ### MITRE ATT&CK Framework Utilize as táticas e técnicas do ATT&CK para estruturar suas hunts: - **Initial Access**: Como atacantes ganham acesso inicial - **Execution**: Como malware é executado - **Persistence**: Como atacantes mantêm acesso - **Privilege Escalation**: Como atacantes obtêm privilégios elevados - **Defense Evasion**: Como atacantes evitam detecção - **Credential Access**: Como atacantes obtêm credenciais - **Discovery**: Como atacantes exploram o ambiente - **Lateral Movement**: Como atacantes se movem pela rede - **Collection**: Como atacantes coletam dados - **Exfiltration**: Como dados são removidos ### The Hunting Loop 1. **Hypothesis** - Formular hipótese baseada em threat intelligence 2. **Tool/Technique** - Selecionar ferramentas e técnicas apropriadas 3. **Hunt** - Executar a caça utilizando dados disponíveis 4. **Analysis** - Analisar resultados e correlacionar eventos 5. **Response** - Tomar ações baseadas nos achados ## Tipos de Threat Hunting ### 1. Structured Hunting - Baseado em IOCs conhecidos - Utiliza feeds de threat intelligence - Busca por assinaturas específicas ### 2. Unstructured Hunting - Investigação exploratória - Busca por anomalias e padrões suspeitos - Análise comportamental ### 3. Situational Hunting - Resposta a incidentes específicos - Investigação de alertas de alta prioridade - Caça contextual baseada em eventos atuais ## Ferramentas Essenciais ### SIEM/Log Management - **Splunk**: Análise avançada de logs e correlação - **ELK Stack**: Elasticsearch, Logstash, Kibana para análise de dados - **AWS CloudTrail**: Monitoramento de atividades na AWS - **AWS GuardDuty**: Detecção de ameaças nativa da AWS ### Análise de Endpoint - **YARA**: Identificação e classificação de malware - **Sigma**: Regras genéricas de detecção - **OSQuery**: Query de endpoints como banco de dados - **Sysmon**: Logging detalhado de atividades do sistema ### Network Analysis - **Wireshark**: Análise profunda de tráfego de rede - **Zeek (Bro)**: Monitoramento e análise de rede - **Suricata**: IDS/IPS com capacidades de threat hunting ### Threat Intelligence - **MISP**: Plataforma de compartilhamento de threat intelligence - **OpenCTI**: Plataforma open source para CTI - **STIX/TAXII**: Padrões para compartilhamento de intelligence ## Técnicas de Hunting ### 1. IOC Hunting ```bash # Busca por hash MD5 malicioso em logs grep "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6" /var/log/security.log # Procurar por IPs suspeitos em conexões de rede netstat -an | grep "192.168.100.50" ``` ### 2. Anomaly Detection - Identificar padrões de login incomuns - Detectar transferências de dados anômalas - Monitorar processos executados fora do horário comercial ### 3. Behavioral Analysis - Análise de User and Entity Behavior Analytics (UEBA) - Detecção de desvios no comportamento normal - Correlação entre múltiplas fontes de dados ### 4. Timeline Analysis - Reconstruir sequência temporal de eventos - Identificar correlações entre diferentes sistemas - Mapear a progressão de um ataque ## Hunt Queries Práticas ### Detecção de Lateral Movement ```sql -- Buscar por múltiplos logins do mesmo usuário em diferentes hosts SELECT user, COUNT(DISTINCT source_ip) as unique_ips FROM authentication_logs WHERE event_time > NOW() - INTERVAL 1 HOUR GROUP BY user HAVING unique_ips > 5; ``` ### Identificação de Command & Control ```sql -- Detectar comunicações regulares com IPs externos SELECT dest_ip, COUNT(*) as connection_count FROM network_logs WHERE dest_ip NOT LIKE '10.%' AND dest_ip NOT LIKE '192.168.%' AND dest_ip NOT LIKE '172.%' GROUP BY dest_ip HAVING connection_count > 100; ``` ### Análise de Processos Suspeitos ```bash # Buscar por execuções de PowerShell com encoding grep -i "powershell.*-enc" /var/log/syslog # Identificar execuções de ferramentas de administração remota ps aux | grep -E "(psexec|wmic|winrm)" ``` ## Indicadores de Hunt Success ### Métricas Quantitativas - **Time to Detection (TTD)**: Tempo para detectar uma ameaça - **Time to Response (TTR)**: Tempo para responder a um incidente - **False Positive Rate**: Taxa de falsos positivos - **Coverage**: Percentual do ambiente coberto por hunting ### Métricas Qualitativas - **Threat Actor Profiling**: Capacidade de identificar adversários - **Attack Reconstruction**: Habilidade de reconstruir cadeias de ataque - **Intelligence Integration**: Efetividade na utilização de threat intelligence ## Melhores Práticas ### 1. Preparação do Ambiente - **Log Centralization**: Centralize logs de todas as fontes relevantes - **Data Retention**: Mantenha histórico suficiente para análise temporal - **Network Visibility**: Garanta visibilidade completa do tráfego de rede - **Endpoint Coverage**: Monitore todos os endpoints críticos ### 2. Desenvolvimento de Hipóteses - Base hipóteses em threat intelligence atual - Considere o perfil de atacantes relevantes ao seu setor - Utilize frameworks como MITRE ATT&CK para estruturar hipóteses - Documente e refine hipóteses baseado em resultados ### 3. Execução de Hunts - **Start Small**: Comece com hunts simples e evolua gradualmente - **Document Everything**: Mantenha documentação detalhada de métodos e resultados - **Iterate and Improve**: Refine técnicas baseado em feedback e resultados - **Collaborate**: Trabalhe em equipe e compartilhe conhecimento ### 4. Gestão de Resultados - **Prioritization**: Priorize achados baseado em risco e criticidade - **Investigation**: Conduza investigações completas de achados positivos - **Remediation**: Implemente remediações apropriadas - **Lessons Learned**: Capture e compartilhe lições aprendidas ## Desafios Comuns ### Técnicos - **Data Quality**: Logs inconsistentes ou incompletos - **Scale**: Volume massivo de dados para análise - **Tool Integration**: Integração entre múltiplas ferramentas - **Performance**: Impacto de queries complexas em sistemas produtivos ### Organizacionais - **Skill Gap**: Falta de analistas com habilidades adequadas - **Resource Constraints**: Limitações de tempo e orçamento - **Process Maturity**: Processos de threat hunting imaturos - **Management Buy-in**: Falta de apoio da alta administração ## Conclusão Threat hunting é uma disciplina essencial na segurança cibernética moderna, requerendo uma combinação de conhecimento técnico, ferramentas adequadas e processos bem definidos. O sucesso depende de uma abordagem estruturada, uso efetivo de threat intelligence e melhoria contínua baseada em resultados e feedback. A implementação efetiva de um programa de threat hunting pode significativamente reduzir o tempo de detecção e resposta a incidentes, melhorando a postura geral de segurança da organização.