TuxResponse es un script de respuesta a incidentes para sistemas Linux escrito en bash. Puede automatizar las actividades de respuesta a incidentes en sistemas Linux y permitirte seleccionar los sistemas rápidamente, sin comprometer los resultados.
Normalmente los sistemas corporativos tendrían algún tipo de supervisión y control, pero hay excepciones debido a la tecnología informática y a las imágenes no estándar desplegadas en el organismo. Lo que equivale a teclear 10 comandos de pruebas y ensayos, se puede hacer con sólo pulsar un botón.
1. Características de TuxResponse
Propósito principal:
- Aprovechar las herramientas y funcionalidades incorporadas en Linux (herramientas como
dd
,awk
,grep
,cat
,netstat
, etc.) - Reducir la cantidad de comandos que los respondedores de incidentes necesitan recordar/usar en el escenario de respuesta.
- Automatización
Herramientas externas en el paquete:
- LiME
- Exif
- Chckrootkit
- Reglas de escaneo YARA + Linux (necesita Internet para obtener el repo)
2. Instalar y usar TuxResponse
Para ejecutar este script es necesario descargar los archivos de TuxResponse desde el repositorio Github con los siguientes comandos:
git clone https://github.com/la3ar0v/TuxResponse.git
cd TuxResponse/
./tuxresponse.sh
Funcionalidad Simplemente elige el número de opción y déjate llevar por las opciones para obtener la salida que buscas.
- Live Response
- Footprint System: Información del sistema, IP, Fecha, Hora, último inicio, etc.
- File System Tools: Verifica sistema de archivos montados, Hash ejecutables, Archivos modificados, Directorios ocultos, etc.
- YARA, CHKROOTKIT, EXIFTool: Verificar si hay rootkits, Análisis de Yara, instala EXIFTool.
- Process Analysis Tools: Listar procesos en ejecución, Conexiones de red activas, entre otros.
- Network Connections Analysis: Listar todas las conexiones de red activas/sockets sin procesar.
- Users: Listar todos los usuarios conectados al sistema, Usuarios con contraseña.
- Bash: Verificar archivo de historial de bash.
- Evidence Of Persistence: Listar todos los trabajos de Cron, Listar todos los programas de inicio/arranque.
- Dump All Logs (/var/log): Volcar registros.
- Connect To Target – use SSH to transfer script and analyze remote system: Esta opción te permite conectarte a un sistema remoto, copiar todos los scripts y herramientas y analizar el sistema.
- Take Memory Dump (LKM LiME): Te permite compilar LiME desde la fuente y volcar la memoria RAM del sistema. Esta es la forma más fácil de hacerlo.
- Take disk image (DD): Te permite hacer una imagen de disco completa del sistema de destino utilizando la herramienta conocida herramienta –
dd
. - Generate HTML Report: Todo lo que hace se graba en archivos de texto, por lo tanto, es fácil regresar y mirar la salida. Lo bueno de esto es que puedes cargarlo en tus herramientas de análisis de registro favoritas y darle sentido en una etapa posterior.
- Install Software: Instalar los archivos binarios que requiere el script para funcionar correctamente.
Artículos recomendados:
- Script Bash para obtener alerta de batería baja en Linux
- BACKUPNINJA: Hacer copias de seguridad automáticas en GNU/Linux
- Útiles atajos de teclado en Bash que debes saber
¿Te ha gustado este artículo? Sigue este blog en sus fanpage para que no te pierdas del mejor contenido informático y hacking!