Durante un incidente, cada segundo cuenta, y extraer información de un sistema
Linux para llevar a cabo un análisis forense puede ser un complicado reto:
distribuciones diferentes, distintos kernels, configuraciones variadas y la
necesidad de una extracción rápida y fiable antes de que los datos puedan
llegar a perderse o alterarse.
Por eso, en Securizame han desarrollado
Lintriage, una herramienta pensada para que los analistas de DFIR puedan recolectar
evidencias de manera rápida y eficiente en máquinas vivas Linux.
Hace algunos años desarrollaron
LNX IR Tool, una
solución que permitía ejecutar extracciones forenses desde un pendrive, pero
con el tiempo vieron la necesidad de ampliarlo, mejorarlo y hacerlo más
completo, escalable, sencillo y amigable para el investigador. Además de eso,
en 2020 lanzaron
WinTriage de forma
gratuita, una
herramienta de adquisición de evidencias DFIR para sistemas Windows, y ha tenido una gran aceptación por parte de la comunidad de analistas
forenses y profesionales de ciberseguridad, que, encantados con la
herramienta, buscaban algo similar para sistemas Linux.
Lintriage fue presentada en exclusiva por Lorenzo Martínez (aka
@lawwait)en
la
XV edición de la RootedCON el
día 6 de marzo de 2025, y ahora la liberan a toda la comunidad de manera
totalmente gratuita, con la idea de que, con el apoyo de los analistas
forenses y profesionales que la utilicen, se pueda mejorarla continuamente y
lograr una herramienta referente en DFIR y Análisis Forense para los sistemas
Linux.
¿Qué hace Lintriage?
- Ejecución en terminal de comandos
- Facilita la recolección rápida de artefactos forenses clave.
-
Respeto con el orden de volatilidad y con el mínimo impacto en el sistema
víctima -
Extracción de artefactos forenses de sistema, de usuario y de sistema de
ficheros. - Soporte de TSK para sistemas de archivos XFS.
- Basada en la utilización de binarios y librerías confiables.
- Interoperabilidad con sistemas basados en SystemV y SystemD.
- Filosofía UNIX que permite hacerlo modular y escalable basado en plugins.
Pero, si WinTriage y LinTriaje no alcanza aquí hay algunas listas «awesome» de Herramientas de Anális Forense.
- https://awesome.ecosyste.ms/lists?topic=forensics
- https://github.com/mesquidar/ForensicsTools
- https://github.com/cugu/awesome-forensics
- https://github.com/shadawck/awesome-anti-forensic
- https://github.com/digitalisx/awesome-memory-forensics
- https://github.com/stuhli/awesome-event-ids
- https://start.me/p/q6mw4Q/forensics
- https://github.com/rshipp/awesome-malware-analysis
- https://github.com/meirwah/awesome-incident-response
- https://www.dfir.training/tools | https://www.dfir.training/freetools