TuxResponse Linux Incident Response
TuxResponse Linux Incident Response

TuxResponse: Respuesta al Incidente en Linux

TuxResponse es un script de respuesta a incidentes para sistemas Linux escrito en bash. Puede automatizar las actividades de respuesta a incidentes en sistemas Linux y permitirte seleccionar los sistemas rápidamente, sin comprometer los resultados.

Normalmente los sistemas corporativos tendrían algún tipo de supervisión y control, pero hay excepciones debido a la tecnología informática y a las imágenes no estándar desplegadas en el organismo. Lo que equivale a teclear 10 comandos de pruebas y ensayos, se puede hacer con sólo pulsar un botón.

1. Características de TuxResponse

Propósito principal:

  • Aprovechar las herramientas y funcionalidades incorporadas en Linux (herramientas como dd, awk, grep, cat, netstat, etc.)
  • Reducir la cantidad de comandos que los respondedores de incidentes necesitan recordar/usar en el escenario de respuesta.
  • Automatización

Herramientas externas en el paquete:

  • LiME
  • Exif
  • Chckrootkit
  • Reglas de escaneo de Yara + Linux (necesita Internet para obtener el repo)


2. Instalar y usar TuxResponse

Para ejecutar este script es necesario descargar los archivos de TuxResponse desde el repositorio Github con los siguientes comandos:

git clone https://github.com/la3ar0v/TuxResponse.git
cd TuxResponse/
./tuxresponse.sh
Instalar TuxResponse en Linux
Instalar TuxResponse en Linux
Interfaz de TuxResponse
Interfaz de TuxResponse

Funcionalidad Simplemente elige el número de opción y déjate llevar por las opciones para obtener la salida que buscas.

Funcionalidad de TuxResponse
Funcionalidad de TuxResponse
  • Live Response
Footprint System con TuxResponse
Footprint System con TuxResponse
  1. Footprint System: Información del sistema, IP, Fecha, Hora, último inicio, etc.
  2. File System Tools: Verifica sistema de archivos montados, Hash ejecutables, Archivos modificados, Directorios ocultos, etc.
  3. YARA, CHKROOTKIT, EXIFTool: Verificar si hay rootkits, Análisis de Yara, instala EXIFTool.
  4. Process Analysis Tools: Listar procesos en ejecución, Conexiones de red activas, entre otros.
  5. Network Connections Analysis: Listar todas las conexiones de red activas/sockets sin procesar.
  6. Users: Listar todos los usuarios conectados al sistema, Usuarios con contraseña.
  7. Bash: Verificar archivo de historial de bash.
  8. Evidence Of Persistence: Listar todos los trabajos de Cron, Listar todos los programas de inicio/arranque.
  9. Dump All Logs (/var/log): Volcar registros.


Opción 4 Process Analysis Tools
Opción 4 Process Analysis Tools
Listar procesos en ejecución en Linux
Listar procesos en ejecución en Linux
Opción 5 Network Connections Analysis
Opción 5 Network Connections Analysis
Listar todas las conexiones de red activas sin procesar
Listar todas las conexiones de red activas sin procesar
  • Connect To Target – use SSH to transfer script and analyze remote system: Esta opción te permite conectarte a un sistema remoto, copiar todos los scripts y herramientas y analizar el sistema.
  • Take Memory Dump (LKM LiME): Te permite compilar LiME desde la fuente y volcar la memoria RAM del sistema. Esta es la forma más fácil de hacerlo.
  • Take disk image (DD): Te permite hacer una imagen de disco completa del sistema de destino utilizando la herramienta conocida herramienta – dd.
  • Generate HTML Report: Todo lo que hace se graba en archivos de texto, por lo tanto, es fácil regresar y mirar la salida. Lo bueno de esto es que puedes cargarlo en tus herramientas de análisis de registro favoritas y darle sentido en una etapa posterior.
Generar reporte HTML en TuxResponse
Generar reporte HTML en TuxResponse
  • Install Software: Instalar los archivos binarios que requiere el script para funcionar correctamente.

Artículos recomendados:

Si te gusta el contenido y deseas apoyar a la mejora del sitio web, considera hacer una contribución ¡haciendo clic aquí por favor!. ¡NO ES OBLIGATORIO, GRACIAS! :’)

¿Te ha gustado este artículo? Sigue este blog en su fanpage de  FacebookTwitterInstagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!

Más artículos
Comandos para verificar Disco Duro y particiones Linux
+10 Comandos para verificar el Disco Duro y sus particiones en Linux