Técnicas, Tácticas y Metodologías de Búsqueda de Amenazas: Tu Introducción Paso a Paso

ESCRITO POR

Oleksandra Rumiantseva

[post-views]

julio 28, 2022 · 12 min de lectura

Técnicas, Tácticas y Metodologías de Búsqueda de Amenazas: Tu Introducción Paso a Paso

Tabla de contenidos:

Podríamos empezar este artículo con una declaración audaz diciendo que Caza de Amenazas es más fácil de lo que piensas, y al leer nuestro blog, te convertirás instantáneamente en un experto. Desafortunadamente o afortunadamente, ese no es el caso. Sin embargo, entendemos que comenzar como Cazador de AmenazasCibernéticas is es difícil. Por eso estamos introduciendo una serie de guías sobre Fundamentos de la Caza de Amenazas.

Las medidas preventivas no son una panacea para una defensa impenetrable. Es ahí donde entra en juego la caza de amenazas. Sin embargo, ¿por dónde empezar? En este blog, examinaremos más de cerca las metodologías de caza de amenazas, particularmente las técnicas de caza de amenazas and las tácticas de caza de amenazas.

Tácticas de Caza de Amenazas

Las tácticas de caza de amenazas se refieren al enfoque fundamental que un Cazador de AmenazasCibernéticas utiliza tanto para la caza de amenazas reactiva como proactiva.

Caza de Amenazas Orientada a Objetivos

La caza de amenazas orientada a objetivos funciona bien para la recolección inicial de datos mientras te centras en una amenaza particular que intentas encontrar en tu entorno, como:

Amenazas persistentes avanzadas (APTs) grupos, incluidos sus tácticas, técnicas y procedimientos (TTPs)
Vector de ataque específico basado en el Marco MITRE ATT&CK® o alternativamente, or alternatively, Cyber Kill Chain, NIST CSF, y los marcos del Instituto SANS and ISACA. Si no sabes por dónde empezar, consulta nuestra guía MITRE ATT&CK para auto-desarrollo.
Indicadores de Compromiso (IOCs) obtenidos ya sea por la investigación interna de tu equipo de inteligencia o de organizaciones de inteligencia de amenazas de clase mundial.

Caza de Amenazas Basada en Datos

Un enfoque basado en datos da la vuelta a la caza de amenazas orientada a objetivos. Tú recolectas datos, los analizas y defines qué cazar, dependiendo de los elementos de interés y los datos disponibles. Un conjunto de datos que permita detectar una o más amenazas puede ser un buen punto de partida.

La caza de amenazas basada en datos permite a las organizaciones centrarse en lo que tienen hoy. En contraste, la caza de amenazas orientada a objetivos típicamente identifica brechas en los datos que pueden requerir recursos adicionales para capturar. Los mejores equipos de caza de amenazas tienden a usar ambas tácticas.

Técnicas y Metodologías de Caza de Amenazas

Generalmente, los adversarios toman el camino de menor resistencia para alcanzar sus objetivos. Como cualquier humano, cometen errores, dejan evidencia y reciclan técnicas. Y puedes usar eso a tu favor. Dicho esto, profundicemos en la metodología básica de la caza de amenazas efectiva. for effective hunts.

Paso 1: Conoce Tu Infraestructura

Aunque este paso pueda parecer obvio, te sorprendería saber cuántas organizaciones ni siquiera conocen el número exacto de sus puntos finales. Antes de sumergirse en el las técnicas de caza de amenazas, deberías hacerte las siguientes preguntas:

¿Cuál es el alcance de mi entorno?
¿Cómo intentarán los adversarios atacar el entorno?
¿Cómo están realmente utilizando el entorno mis empleados?
¿Cuáles son mis brechas en visibilidad, capacidad para investigar y capacidad para responder?

Paso 2: Fuentes de Datos

La parte fundamental de cualquier caza de amenazas son los datos. Las fuentes de datos pueden ser activas or pasivas:

Los datos activos se refieren a los eventos que ya fueron determinados como maliciosos por algún tipo de solución. Obtienes estos datos de IDS, IPS, antivirus, etc. Por ejemplo, una solución antivirus creará un evento cuando ponga en cuarentena un archivo que reconozca como mimikatz.
Los datos pasivos son el alcance completo de eventos, ya sean maliciosos o no. Pueden ser proporcionados por registros de eventos de Windows, sysmon, registros de la nube, registros de cortafuegos, zeek, etc. Por ejemplo, la mayoría de los sistemas entregan todos los eventos de autenticación, incluidos tanto los eventos exitosos como los no exitosos. Los datos pasivos no tienen sesgo; simplemente son un registro de un evento.

Ambos tipos de datos tienen valor. Sin embargo, para un Cazador de Amenazas,Cibernéticaslas fuentes de datos pasivas son más útiles porque proporcionan visibilidad completa sin depender de la investigación y lógica de detección de otra persona (su sesgo).

Otro desafío es gestionar el costo de la recolección de datos, lo cual podría ser un verdadero dolor de cabeza. Aplicar un enfoque ‘codicioso’ podría dejarte sin los registros requeridos. Y sí, también necesitas eventos históricos. El consejo general es conservar al menos un año de registros. Sin embargo, depende del cumplimiento, las especificidades de la industria y la estrategia de tu organización. Ten en cuenta que las fuentes de datos pasivas serán más costosas de recopilar que las fuentes activas.

Ejemplo de fuente de datos: creación de procesos

Quizás una de las fuentes de datos pasivas más importantes para recopilar es la creación de procesos. Los eventos de creación de procesos pueden ayudar a cubrir la detección de más de dos tercios de las técnicas existentes de MITRE ATT&CK. Algunos podrían argumentar que reunir la creación de procesos eventos lleva a fugas de contraseñas. Sin embargo, pierdes más al no recopilar estos registros, y existen soluciones para evitar una posible exposición de datos sensibles. Los eventos de creación de procesos también es compatible de forma nativa en sistemas Windows y Linux. Además, los registros enriquecidos de fuentes EDR o sysmon de Microsoft son muy comunes.

Paso 3: Piensa como un Adversario

Cada ataque cibernético es un proceso, y está lejos de ser aleatorio. Por eso existe el concepto de cadena de eliminación. La cadena de eliminación se refiere a los pasos que toman los adversarios para lograr sus objetivos. Si eres nuevo en la caza de amenazas, confiar en tu intuición y enfoque de pensar como un adversario podría no ser la mejor idea. Sin embargo, intentar analizar vectores de ataque y diferentes APTs es un excelente lugar para comenzar.

Los adversarios no pueden chasquear los dedos para ‘poseer’ tus sistemas. Generalmente, deben tomar una serie de acciones para alcanzar sus objetivos. La mayoría de las veces, esto involucra pasos como ganar acceso inicial, establecer persistencia, elevar permisos, movimiento lateral, etc.

Existen ciertos tipos de ataques que pueden permitir a un adversario eludir algunas o incluso todas estas medidas. Por ejemplo:

Si un adversario solo quiere dejar fuera de línea tu sitio web principal, probablemente pueda pagar a una empresa de denegación de servicio (DoS) para que lo haga por ellos.
Ataques como inyección SQL o encontrar almacenamiento en la nube expuesto pueden permitir a los adversarios robar datos sensibles sin obtener nunca un punto de apoyo.

Asegúrate de tener tu cobertura en su lugar

Primero, revisa uno de los marcos (MITRE ATT&CK, Cyber Kill Chain, etc.) y examina más a fondo para entender qué podría estar detrás de un ataque. Por supuesto, no existe una matriz universal que pueda aplicarse a cada caso, pero cada marco tiene un enfoque similar a la descripción de los vectores de ataque.

Cuando estés familiarizado con la cadena de eliminación, piensa en qué técnicas y sub-técnicas deberías cubrir en primer lugar. Tratar de cubrir todas las técnicas puede ser tu primera intención, pero, lo más probable, es que esto no funcione porque es costoso, consume mucho tiempo y aún no protege completamente tu sistema.

Para evitar el alboroto innecesario, ten en cuenta las siguientes ideas:

Aprende qué vectores pueden tomar los adversarios
No todos los ataques se reducen solo a un marco
Mantente al tanto de las técnicas emergentes
Conoce qué APTs podrían apuntar a tu industria y cuál es su estilo
Si tu inteligencia de amenazas está fuera de lugar, evita confiar en los datos históricos sobre actores de amenazas
Consulta informes confiables para mantenerte al día con las tendencias de la industria

Paso 4: Análisis de Datos

Cuando hayas recolectado tus registros, es hora de analizarlos. Como Cazador de Amenazas,Cibernéticasno solo deberías ser bueno escribiendo código porque trabajar con datos es esencial. La práctica hace al maestro, pero lo que importa es de quién aprendes. Basándonos en la experiencia de nuestros Cazadores de Amenazas, hemos recopilado los siguientes consejos para ti.

Consejos para un análisis de registros exitoso

Las siguientes sugerencias pueden mejorar significativamente tu proceso de caza de amenazas:

Una alerta no significa nada, pero el mismo patrón en múltiples alertas o una cadena de eventos sospechosos es lo que estás buscando. Para rastrearlo, haz lo siguiente:
- Recopila todos los eventos relevantes (p. ej., la creación de procesos) en un informe
- Selecciona los más interesantes. Recuerda que las cosas más comunes son las menos sospechosas. Puedes elegirlos manualmente o usando Jupyter Notebook o una tabla de Excel. Alternativamente, podrías escribir un script en Python para un filtrado avanzado. Principalmente, debes verificar los detalles de la línea de comandos.
- Cuando selecciones los eventos más relevantes, haz un informe resumido (podría incluir alrededor de 100,000 eventos de un millón o dos), exporta un .csv, y dáselo a tus analistas o analízalo tú mismo.
Podrías sentir que tratar de abrirte camino entre 2 millones de alertas es demasiado. Sin embargo, por lo general, no tomará más de unas pocas horas, incluso con un par de millones de alertas.
La auditoría de creación de procesos es tu mejor opción, incluso para ataques de día cero y de la cadena de suministro. Como hemos mencionado antes, solo reunir estos eventos cubrirá la mayoría de las técnicas.
Recuerda que no todos los comportamientos están catalogados en MITRE ATT&CK. Por ejemplo, ten en cuenta los nombres de archivo cortos (p. ej., 1.pst) o rutas sospechosas, como C:windowstemp. Según Florian Roth, también debes prestar atención a las siguientes anomalías:
- Archivo del sistema renombrado (certutil.exe as %temp%cu.exe)
- Aplicación de oficina generando una shell (cmd.exe, powershell.exe)
- Herramientas conocidas renombradas (PsExec.exe as C:p.exe)
- Ejecución desde rutas poco comunes (C:UsuariosPúblico, C:Perflogs, etc.)
- Anomalías de archivos (archivo empaquetado UPX con Copyright de Microsoft)
- Descarga de archivos desde TLD sospechosos (.dll descarga desde .onion dominio)
Si tu empresa lo permite, comparte tus observaciones porque la ciberdefensa colaborativa es mucho más efectiva que ‘luchar’ por tu cuenta.

Paso 5: Proceso de Caza de Amenazas

Cuando la preparación esté completa (conoces bien tu infraestructura, tienes los datos que necesitas y los has analizado), puedes comenzar la caza. Detectar ataques avanzados puede parecer complicado, pero se vuelve mucho más fácil con la telemetría adecuada. Recuerda que incluso los adversarios avanzados dependen de tácticas, técnicas y procedimientos (TTPs) reciclados.

¿Sigues dudando? Entonces, aquí tienes un ejemplo representativo de la cadena de suministro Solarwinds ataque que permaneció sin ser descubierto durante aproximadamente un año.

Casi todos los ataques tienen cosas más plausibles y más difíciles de detectar. En el ejemplo de Solorigate, puedes ver algunas técnicas avanzadas y novedosas que son complicadas (aunque no imposibles) para cazar, como:

SAML dorado
Malware solo en memoria
Esteganografía
Mascarada de Dirección IP
Archivos Encriptados
DGA
HTTP C2 Encriptado / Novedoso

Por otro lado, hay técnicas y métodos más triviales para buscar:

Uso de Powershell
Creación de Procesos / Uso de LOLBAS
Creación de Tareas Programadas
Actividad Inusual de Cuentas

El siguiente script no necesariamente tenía que ser malicioso. Sin embargo, si ves que rundll32.exe ejecutando el vbscript:", deberías prestar atención a esto y al menos verificar si se ha ejecutado antes en tu entorno. Aunque los adversarios hicieron algunas cosas extremadamente avanzadas, aún usan un LOLBAS bien conocido «Rundll32«.

Rundll32.exe vbscript:"..mshtml,RunHTMLApplication "+Execute (CreateObject("Wscript.Shell").RegRead("HKLMSOFTWAREMICROSOFTWindowsCurrentVersi onsibot")) (window.close)

¿Qué vemos aquí?

Creación de Procesos
LOLBAS bien conocido «Rundll32»
Rundll32 ejecutado con argumentos conocidos de LOLBAS

Nuevamente, esto podría detectarse fácilmente si tuvieras la telemetría adecuada. Sin mencionar que antes de la divulgación del ataque, teníamos una regla en la Plataforma SOC Prime que generaría una alerta basada en el Rundll32.exe and RunHTMLApplication.

Para obtener más ejemplos, puedes ver un seminario web preparado por nuestro Líder de Ingeniería de Caza de Amenazas, Adam Swan, donde analiza múltiples ataques y las detecciones que podrían haberse utilizado.

Reglas basadas en IOCs vs. basadas en comportamiento

¿Son efectivas las reglas basadas en IOC? Sí, pero no siempre. El problema con ellas es que los informes de IOC a menudo tardan más en liberarse de lo que permite la realidad de la ciberseguridad. Además, lo más probable es que IPs, hashes, dominios y herramientas no se reutilicen. Mientras que una consulta de caza de amenazas construida para identificar actividad inusual de rundll32 puede ser útil durante décadas en lugar de días/semanas/meses. Por lo tanto, opta por reglas basadas en comportamientos para un efecto más duradero.

Por supuesto, las reglas basadas en IOC oportunas y de alta calidad pueden ser útiles. A menudo, las detecciones basadas en IOC se usan mejor de manera retroactiva para ver si fuiste blanco en el pasado en lugar de detectar ataques actuales. Al final, no deberías olvidar sobre la Pirámide del Dolor al abordar la caza de amenazas y la respuesta a incidentes.

Paso 6: Enriquece Tu Caza

Ser un Cazador de AmenazasCibernéticas es probablemente uno de los roles más creativos en la ciberseguridad, aunque se basa en el análisis. Para mantener el ritmo de la industria, siempre deberías obtener conocimientos adicionales, ideas e inspiración. Aquí tienes algunas ideas que podrían enriquecer tu proceso de caza de amenazas:

El análisis de malware es una excelente manera de aprender. Puedes tomar prestadas algunas ideas y reconstruir el código de los adversarios.
No descuides la Informática Forense y el contexto de la Intel de Amenazas. Cuanto más sepas, mejor preparado estarás. Siempre puedes encontrar una recopilación de contexto para amenazas emergentes en el Motor de Búsqueda de Amenazas Cibernéticas.
Utiliza Marco MITRE ATT&CK, OSSEM, y otros marcos o documentación para ampliar tu conocimiento y mejorar tus habilidades.
Usa herramientas adicionales para encontrar más inspiración, contexto e ideas para tus detecciones. Primero, revisa los proyectos gratuitos y de código abierto. Por ejemplo:
- LOLBAS para binarios
- MalwareBazaar para muestras de malware
- ANY.RUN para análisis de malware
- Uncoder.IO para traducción de reglas Sigma
- Uncoder CTI para generación de consultas basadas en IOC
Si te quedas sin ideas para tus cazas, revisa lo que Quick Hunt en la Plataforma SOC Prime tiene para ofrecer.

La caza de amenazas puede ser abrumadora y desafiante, pero vale la pena. Aprende, practica y sé curioso. Y trataremos de hacer tu camino más suave con nuestras guías sobre Fundamentos de la Caza de Amenazas.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Blog, SIEM y EDR — 15 min de lectura

Inteligencia de Amenazas con IA

Veronika Telychko

Blog, Plataforma SOC Prime — 4 min de lectura

SOC Prime Anuncia Programa de Referencias para Defensores Cibernéticos Individuales

Daryna Olyniychuk

Blog, Plataforma SOC Prime — 9 min de lectura

Uncoder: IA Privada No-Agente para la Ingeniería de Detección Informada por Amenazas

Veronika Telychko

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Técnicas, Tácticas y Metodologías de Búsqueda de Amenazas: Tu Introducción Paso a Paso