>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2024-11-24-José Luis Sánchez Martínez ec33b23650a68256b54b01f85b8d5f69.md
Última modificación: 24-11-2024
Etiquetas: #CCN-CERT24

José Luis Sánchez Martínez

Title: https://jornadas.ccn-cert.cni.es/es/xviiijornadas-programa-general/xviii-jornadas-ccn-cert/ponencia/mas-alla-de-lo-evidente-explorando-el-threat-hunting-creativo Topic: Threat Hunting

El arte del threat hunting

¿Intera o Externa?

Donde queremos poner los esfuerzos para indentificar la vulnerabilidad

Splunk (PEAk) → proceso para el Thread Hunting. Aspectos importantes:

  • Generar Hypotesis:
  • Gather Date and Analyze: donde lo quiero hacer, en plataformas externas, o interno para identificar actividades en la red.

H1: detección en las APT’s - detectar proactivamente …

Documentos ofimaticos → hunting maldocs

Todos los documentos tienen imagenes.

¿Como identificar estos archivos de manera agil?

graph TD
A[Office Document]  --> B[Bundled_files]

B--> C[Images]
B--> D[Styles.xlms]

B--> E[Content_Types]

Images

APT28

Viendo los hashes de las imagenes, vemos que se han ido subiendo / publicando a lo largo del tiempo.

Podíamos haberlas ifentificado, y una vez se suba un archivo a la plataforma, comprobará si están estas imagenes “fraudulentas”.

SIDEWINDER

La imagen en este caso, es una firma → dando veracidad al documento. Es probable que esta firma se puede seguir usando por lo que habría que tenerlo en cuenta.

Styles.xml

Normalmente los agentes comparten style, sin embargo, hay alguno interesante porque dos empresas compartian el styles.xml.

Los 3 archivos tienen el mismo conten_type y styles lo que pueden haber sido generados por el mismo agente.

El Styles es mas personal

[Content_type].xml

mucho mas comun al styles_xml

Aplicando la IA Generativa, para identificar cuando se suben documentos con imagenes de alguien.

H2: detectar proactivamente archiovos PDF distribuidos por otro actor.

Se puede hacer de manera similar a los documentos ofimaticos.

AdobeAcrobarReader, hace una captura de pantalla de la primera pagina del PDF. Lo tienen configurado para que esa captura se suba como dropeado del PDF.

Esa captura, al subirla esta misma captura se encontraba en otros 6 documentos.

La SandBox cuando tiene un hipervinculo, siempre hace click. Se genera un archovo llamado Chrome_cache_entry.

Vemos que hay un monton de archivos PDF relacionados con ese javaScript que nos ha generado el navegador. BlindLinger??

H3: detectar campañas de distribucion de malware a traves de correos electronicos

Los correos electronicos fraudulentos, contienn imagenes, de la universidad, banco etc. Las imagenes de las redes sociales, esos iconos, al subirlos al virus total, esta embedido en otros 33 correos iguales. Todos tienen el mismo tipo de contenido cambviando la universidad y el texto, pero las imagenes de las redes sociales son las mismas, por lo que podemos monitorear esta actividad.


<< cd ..

>_