Emulación de Adversarios y Operaciones Red Team
Emulación de Adversarios y Operaciones Red Team
Nota importada desde Inbox durante consolidacion bulk.
Emulación de Adversarios y Operaciones Red Team
Resumen
La emulación de adversarios no es pentesting genérico — es la réplica deliberada de las TTPs de un actor de amenazas específico para evaluar si las defensas de la organización lo detectarían. Este tema conecta las técnicas ofensivas (CEH curriculum), la inteligencia sobre adversarios (CTI), la OPSEC del operador red team, y las herramientas ofensivas.
Del Pentesting a la Emulación de Adversarios
Técnicas Ofensivas — Kill Chain
El vault cubre el kill chain ofensivo completo a través de las notas de estudio CEH:
- Reconocimiento: ceh-02-footprinting-recon — footprinting pasivo y activo, OSINT, DNS, WHOIS, Google dorks
- Escaneo: ceh-03-network-scanning — Nmap, escaneo de puertos, fingerprinting de servicios, evasión de firewalls
- Sniffing: ceh-08-sniffing — captura de tráfico, ARP poisoning, MITM, análisis de protocolos
- Explotación: ceh-06-system-hacking-privesc — escalada de privilegios, credential dumping, técnicas de persistencia
- Malware: ceh-07-malware-threats — tipos de malware, mecanismos de entrega, evasión de AV
- Evasión: ceh-12-evading-ids-firewall — técnicas de evasión de IDS/IPS, fragmentación, tunneling
De Técnica a Emulación
La diferencia clave entre pentesting y adversary emulation es la inteligencia previa. El pentester busca cualquier vulnerabilidad. El adversary emulator replica las TTPs específicas de un actor que es relevante para la organización:
- Scattered Spider usó social engineering + helpdesk compromise + ransomware deployment → un ejercicio de emulación replicaría esa cadena exacta
- cisa-red-team-assessment-critical-infra documenta un ejercicio real de CISA contra infraestructura crítica: las lecciones aprendidas muestran qué detectó el blue team y qué no
OPSEC del Red Teamer
Your Pocket Guide to OPSEC in Adversary Emulation es la referencia central: arquitectura ofensiva (C2 con redirectors, múltiples canales), comprensión de las defensas del enemigo (EDR hooks, kernel callbacks, ETW providers), security events críticos (EIDs 3/17/18/4698/4703), y OPSEC tips por fase:
- Acceso inicial: MOTW bypass, HTML smuggling, VBA purging
- Kerberos: Overpass The Hash con AES256, Kerberoasting con bajo ruido
- Movimiento lateral: DCOM, SCShell (fileless sobre DCERPC)
- Tooling: stageless payloads, direct syscalls, PPID spoofing, entropía controlada
Arsenal Ofensivo
cti-offensive-security-github-tools cataloga herramientas ofensivas de código abierto organizadas por fase del kill chain. Este catálogo se usa tanto para emulación (qué herramientas usa el adversario) como para operaciones red team (qué herramientas usar).
Patrón Clave
El mejor red team es invisible — hasta que elige no serlo. La disciplina OPSEC (C2 architecture, process injection, named pipe pivoting) no es opcional: es lo que separa un test de penetración de una emulación realista de un APT. Si el blue team te detecta por un named pipe con nombre default de Cobalt Strike, no estás emulando a nadie.
Notas Vinculadas
| Nota | Dominio | Rol en el tema |
|---|---|---|
| ceh-02-footprinting-recon | Cyber | Fase 1: Reconocimiento |
| ceh-03-network-scanning | Cyber | Fase 2: Escaneo |
| ceh-08-sniffing | Cyber | Fase 3: Sniffing/MITM |
| ceh-06-system-hacking-privesc | Cyber | Fase 4: Explotación + persistencia |
| ceh-07-malware-threats | Cyber | Fase 5: Malware delivery |
| ceh-12-evading-ids-firewall | Cyber | Fase 6: Evasión |
| Your Pocket Guide to OPSEC in Adversary Emulation | OPSEC | OPSEC del red teamer |
| cti-offensive-security-github-tools | CTI | Arsenal ofensivo |
| caso-marks-spencer-scattered-spider | CTI | Caso real de emulación |
| cisa-red-team-assessment-critical-infra | CTI | Ejercicio CISA real |