Threat Hunting | Caça a Ameaças Proativa | Decripte Security

Threat Hunting é a busca proativa e iterativa por ameaças cibernéticas que evitaram controles de segurança automatizados - transformando defesa reativa em estratégia ofensiva.

O que é Threat Hunting?

Threat Hunting é prática de busca proativa por indicadores de comprometimento (IOCs) e comportamentos maliciosos na rede e endpoints, assumindo que adversários já superaram defesas perimetrais. Diferente de detecção passiva, hunters buscam ativamente sinais de atividade adversária usando hipóteses baseadas em inteligência de ameaças e conhecimento do ambiente.

Tipos de Threat Hunting

Hypothesis-Driven Hunting

Baseado em hipóteses sobre como adversários podem operar: "E se atacantes estiverem usando Living-off-the-Land para evitar detecção?" Hunter desenvolve hipótese e busca evidências que confirmem ou refutem.

Intelligence-Driven Hunting

Usa threat intelligence para buscar TTPs, IOCs e infraestrutura associada a grupos APT conhecidos. Exemplo: buscar sinais de Cobalt Strike após relatório indicando uso por grupo específico no setor.

Baseline Hunting

Estabelece baseline de comportamento normal e busca desvios estatísticos. Exemplo: identificar processos executando de locais incomuns ou conexões de rede anômalas.

Metodologia de Hunting

• Hipótese: Formular pergunta baseada em threat intelligence ou análise de risco
• Investigação: Coletar e analisar dados usando SIEM, EDR, logs e ferramentas forenses
• Descoberta: Identificar padrões, anomalias ou IOCs que validem hipótese
• Resposta: Se ameaça confirmada, acionar resposta a incidentes
• Documentação: Registrar findings e criar detecções automatizadas

Ferramentas de Hunting

SIEM e Log Analysis

Splunk, ELK Stack, Azure Sentinel para consultas complexas em volumes massivos de logs. KQL, SPL e Lucene para correlação avançada.

EDR e Threat Intelligence

CrowdStrike Falcon, Microsoft Defender for Endpoint, Carbon Black para visibilidade em endpoints. MISP, ThreatConnect para contextualizar IOCs.

Network Analysis

Zeek, Wireshark, NetworkMiner para análise de tráfego e identificação de C2 ocultos.

TTPs de Adversários Comuns

• Living-off-the-Land: Uso de ferramentas legítimas (PowerShell, WMI, PsExec)
• Credential Dumping: Mimikatz, DCSync, LSASS dumping
• Lateral Movement: Pass-the-Hash, Pass-the-Ticket, RDP hijacking
• Persistence: Registry Run Keys, Scheduled Tasks, WMI Event Subscriptions
• C2 Evasivo: Domain fronting, DNS tunneling, HTTPS encrypted beacons

Frameworks de Hunting

MITRE ATT&CK

Framework essencial mapeando TTPs de adversários. Hunters usam ATT&CK para desenvolver hipóteses focadas em táticas específicas (Initial Access, Privilege Escalation, Exfiltration).

Cyber Kill Chain

Modelo de 7 fases ajuda hunters a identificar em que estágio da cadeia adversário está operando e onde buscar artefatos.

Exemplos de Hipóteses de Hunting

• "Adversários podem estar usando PowerShell obfuscado para baixar payloads"
• "Atacantes podem ter estabelecido persistência via Scheduled Tasks em Domain Controllers"
• "Pode haver exfiltração de dados via DNS tunneling para domínios recém-registrados"
• "Movimentação lateral pode estar ocorrendo via RDP de contas de serviço"

KPIs de Threat Hunting

• Hunt Success Rate: Porcentagem de hunts que resultam em descoberta real
• Time to Discovery: Tempo médio entre comprometimento e detecção via hunting
• New Detection Rules: Número de regras automatizadas criadas após hunts
• False Positive Reduction: Melhoria em acurácia de detecções existentes

Melhores Práticas

• Começar hunts com hipóteses claras e mensuráveis
• Priorizar hunts baseados em threat intelligence atualizada
• Documentar todos os hunts, mesmo os que não encontraram ameaças
• Automatizar discoveries via criação de detection rules
• Integrar hunting com programa de threat intelligence
• Treinar hunters continuamente em TTPs emergentes
• Usar MITRE ATT&CK para estruturar programa de hunting