Análisis forenseLinux

#Triage en #Linux – #FastIR Collector

Hola secuaces:

En la entrada anterior, “Triage en #Windows – #FastIR Collector”, hablamos sobre el triage en sistemas Windows, para intervenir en un Incidente de Seguridad, usando la herramienta FastIR, de Sekoia.

No lo dije en la entrada anterior pero, el triage es importante porque, si tenemos un Incidente de Seguridad en, pongamos por ejemplo, una oficina con 20 estaciones de trabajo, no vamos a clonar esos 20 discos duros sin determinar qué ha ocurrido. ¿No creéis?

En esta ocasión, usaremos la misma herramienta para sistemas Linux. Esta será una entrada cortita.

Tras descargar FastIR Collector para Linux, desde su repositorio en Github, con

git clone https://github.com/SekoiaLab/Fastir_Collector_Linux.git

ls -lR Fastir_Collector_linux

Aparecen dos únicos ficheros. La herramienta, desarrollada en Python y un fichero de texto. Echamos un vistazo al fichero README.md que trae, al objeto de ver qué es lo que hace

nano Fastir_Collector_Linux/README.md

Y ahora vemos las opciones del parámetro de ayuda

python Fastir_Collector_Linux/FastIR_collector_linux.py -h

Esta herramienta es muy sencilla de usar. La ejecutamos, le decimos que use todos los perfiles y le indicamos un directorio de salida, todo con privilegios de administración

sudo Python FastIR_collector_linux.py --profiles all --output_dir FastIRLubuntu1404

sudo Python FastIR_collector_linux.py –profiles all –output_dir FastIRLubuntu1404

Y vemos cómo comienza el proceso de recolección de evidencias.

Tras finalizar la adquisición de evidencias, se nos genera un fichero comprimido en formato ‘.zip’ y se nos borra la carpeta donde se produjo la salida de los datos, una carpeta con la fecha.

Listamos el contenido del directorio para comprobar que se ha generado correctamente el fichero comprimido con las evidencias

ls -l

Descomprimimos el fichero para extraer las evidencias

unzip 2016-09-05_101318_N4rr34n6.zip

Y listamos ese directorio, que es el mismo que se borró anteriormente

ls --l FastIRLubuntu1404/N4rr34n6/2016-09-05_101318

Como podréis empezar a ver, ya se aprecian ficheros recolectados muy interesantes, incluido un ‘.log’, que procedemos a visualizar

nano FastIRLubuntu1404/N4rr34n6/2016-09-05_101318/FastIR.log

Se puede ver todo el proceso de recolección, muy bien detallado.

Ahora, tan sólo sería cuestión de analizar los datos recogidos, cosa que haremos en otra futura entrada.

Pero de momento, y a modo de ejemplo…

Podemos buscar cadenas de texto en el sistema de ficheros

grep Install.log FastIRLubuntu1404/N4rr34n6/2016-09-05_101318/fs.csv

O podemos buscar dentro del fichero comprimido, que contiene todos los log del Sistema

strings FastIRLubuntu1404/N4rr34n6/2016-09-05_101318/var_log.zip | grep ‘Tor network’

O podemos ver los logueos que ha habido en el sistema

cat FastIRLubuntu1404/N4rr34n6/2016-09-05_101318/logon.csv

Por último, comentar que FastIR tiene otra utilidad de servidor, FastIR Server, capaz de recoger estas evidencias a través del agente.

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_