• dfir
  • forense
  • incident response
  • linux
  • respuesta a incidentes
  • Triage

    • TriageX - Linux Triage tool

    diciembre 29, 2023 Jesús Angosto

     No es muy habitual encontrarse incidentes en servidores Linux, pero los hay y este año me han tocado varios.

    Los que nos dedicamos al mundillo del forense y al DFIR nos gusta contar con herramientas para realizar un triage de los sistemas y así obtener gran mayoría de artifacts a analizar.

    Pues bien, dado que no encontraba una herramienta que satisficiera mis necesidades ante un incidente con sistema Linux me decidí a realizar un script que hiciera el trabajo por mi con comandos nativos de cualquier sistema Linux.





    TriageX es un script de shell BASH diseñado para recopilar evidencias en un incidente con máquinas Linux. El script utiliza comandos nativos de Linux para ejecutarse.

    El script genera un directorio donde almacenará los resultados de la ejecución.

    TriageX genera una línea de tiempo en csv para que pueda analizarse en cualquier editor y recopila información útil sobre el sistema:

    • Información y estadísticas del sistema operativo.
    • Información específica del hardware.
    • Redes, Firewall, ARP, configuraciones y estadísticas.
    • Lista de procesos en ejecución.
    • Lista de usuarios, grupos y privilegios.
    • Obtiene una lista de paquetes instalados en el sistema (actualmente deb y rpm).
    • Lista completa de directorios y archivos de todo el árbol de directorios del sistema Linux.

    Hace una copia comprimida de los directorios:

    • home
    • root
    • var/log

    Para el tema de la memoria, se usa AVML (Acquire Volatile Memory for Linux) de Microsoft, si lo habéis leído bien, que es portable y funciona sorprendentemente bien, sin necesidad de tener que hacer nada, tan solo ejecutarlo.

    Las pruebas que he realizado, y para mi, han sido lo suficientemente satisfactorias para poder realizar una investigación.

    En el futuro, me gustaría modificarlo para poder establecerle un punto de montaje separado del sistema, dado que actualmente guarda toda la información donde se ejecute (lo ideal es usarlo desde una unidad externa), así que es importante que en el sistema que si se ejecuta en el propio sistema, éste debe de tener suficiente espacio libre para almacenar los artifacts que recopila.

    El enlace a la herramienta lo tenéis en mi GitHub:

    https://github.com/jdangosto/triageX

    You May Also Like

    Publicar un comentario

    0 Comentarios

    © Copyright , DFIR Spain DFIR Spain - Digital Forensics and Incident Response