SOC II

馃洝️ Progreso en el SOC Analyst Path (HTB) – Fases Delivery y Exploitation de la Cyber Kill Chain

Contin煤o avanzando en el m贸dulo Incident Handling Process dentro del SOC Analyst Path de Hack The Box Academy. Tras estudiar las fases iniciales del ciclo de ataque (Recon y Weaponize), hoy profundizo en dos etapas clave en las que el atacante pasa de la preparaci贸n a la ejecuci贸n: Delivery y Exploitation.



馃摠 3. Delivery – Entrega del exploit o payload

La fase de Delivery consiste en hacer llegar el exploit o el payload a la v铆ctima. Es una etapa cr铆tica porque marca el momento en el que el atacante intenta que su c贸digo malicioso llegue al sistema objetivo.

M茅todos habituales de entrega

  • Phishing por correo electr贸nico con adjuntos maliciosos.
  • Enlaces a p谩ginas web que contienen exploits o descargan payloads.
  • Webs falsas que imitan servicios internos para robar credenciales.
  • Ingenier铆a social por tel茅fono para convencer al usuario de ejecutar un archivo.
  • Payloads alojados en webs controladas por el atacante que imitan sitios leg铆timos.
  • Dispositivos f铆sicos como USBs manipulados dejados deliberadamente para ser encontrados.

En la mayor铆a de los casos, el atacante busca que la v铆ctima no tenga que hacer m谩s que doble clic sobre un archivo: ejecutables, scripts (.bat, .cmd, .js, .vbs, .hta), documentos con macros, etc.

Esta fase es una de las m谩s visibles para equipos defensivos, ya que los sistemas de correo, navegadores y EDR pueden detectar y bloquear parte de la actividad.

馃挜 4. Exploitation – Ejecuci贸n del payload

La fase de Exploitation marca el momento en el que el payload es ejecutado. Aqu铆 es donde se activa el exploit o se ejecuta el c贸digo malicioso en el sistema objetivo, con el fin de obtener acceso o control.

Objetivos del atacante en esta fase

  • Ejecutar c贸digo en el sistema por primera vez.
  • Elevar privilegios o explotar vulnerabilidades.
  • Preparar el entorno para la siguiente fase: instalaci贸n persistente.
  • Abrir la puerta para comunicaci贸n externa (C2).

Es en esta etapa donde se materializa el primer “da帽o” t茅cnico: ejecuci贸n de archivo, abuso de macro, explotaci贸n de vulnerabilidad, carga de script obfuscado, etc.

Para un SOC, esta es una de las fases m谩s detectables gracias a:

  • Alertas de seguridad del sistema operativo.
  • Detecciones de EDR/AV.
  • Eventos de ejecuci贸n de procesos sospechosos.
  • Creaci贸n de archivos inusuales.

馃 Conexi贸n SOC – ¿Qu茅 significa esto para un analista?

Estas dos fases representan el punto donde un ataque pasa de “preparaci贸n” a “acci贸n”. Para un analista SOC, conocer Delivery y Exploitation significa saber:

  • Qu茅 vectores de ataque son m谩s comunes.
  • Qu茅 se帽ales deber铆an activar alertas en un SIEM.
  • Qu茅 artefactos se generan al ejecutar un payload.
  • Qu茅 comportamientos de usuario pueden desencadenar intrusiones.

Es la base para investigar correos sospechosos, adjuntos, macros, archivos ejecutados y actividades an贸malas en endpoints.

馃搶 Pr贸ximos pasos

El siguiente avance del m贸dulo cubrir谩 las fases Install, Command & Control (C2) y Action, completando as铆 el ciclo de ataque.

Sigo documentando cada parte del proceso formativo, disponible en:

  • Blog t茅cnico: cibermuro.es
  • Portfolio profesional: olinforomatico.org
  • X/Twitter: @raduciber