07 Mar LinTriage: La herramienta de Triage para el «DFIRer» en Linux
¡Presentamos LinTriage! La herramienta definitiva para DFIR en Linux
En Securízame sabemos que, cuando se trata de respuesta ante incidentes, el tiempo es crítico. Cada segundo cuenta, y extraer información de un sistema Linux para llevar a cabo un análisis forense puede ser un complicado reto: distribuciones diferentes, distintos kernels, configuraciones variadas y la necesidad de una extracción rápida y fiable antes de que los datos puedan llegar a perderse o alterarse.
Por eso, hemos desarrollado Lintriage, una herramienta pensada para que los analistas de DFIR puedan recolectar evidencias de manera rápida y eficiente en máquinas vivas.
Esta herramienta no nace de la nada. Hace unos años desarrollamos LNX IR Tool, una solución que nos permitía ejecutar extracciones forenses desde un pendrive, pero con el tiempo vimos la necesidad de ampliarlo, mejorarlo y hacerlo más completo, escalable, sencillo y amigable para el investigador. Además de eso, en 2020 lanzamos WinTriage, una herramienta de adquisición de evidencias DFIR para sistemas Windows, y ha tenido una gran aceptación por parte de la comunidad de analistas forenses y profesionales de ciberseguridad, que, encantados con la herramienta, buscaban algo similar para sistemas Linux.
Así surge Lintriage, con más funcionalidades que su predecesora LNX IR Tool, lo que la convierte en una herramienta esencial para cualquier profesional de la ciberseguridad que realice análisis forense en este sistema.
Lintriage fue presentada en exclusiva por Lorenzo Martínez en la XV edición de la RootedCON el día 6 de marzo de 2025, y ahora la liberamos para toda la comunidad. Creemos en el trabajo colaborativo, por eso la ofrecemos de manera totalmente gratuita, con la idea de que, con el apoyo de los analistas forenses y profesionales que la utilicen, podamos mejorarla continuamente y lograr una herramienta referente en DFIR y Análisis Forense para los sistemas Linux.
¿Qué hace Lintriage?
- Ejecución en terminal de comandos
- Facilita la recolección rápida de artefactos forenses clave.
- Respeto con el orden de volatilidad y con el mínimo impacto en el sistema víctima
- Extracción de artefactos forenses de sistema, de usuario y de sistema de ficheros.
- Soporte de TSK para sistemas de archivos XFS.
- Basada en la utilización de binarios y librerías confiables.
- Interoperabilidad con sistemas basados en SystemV y SystemD.
- Filosofía UNIX que permite hacerlo modular y escalable basado en plugins.
Sabemos que el análisis forense no se basa en una sola herramienta, pero contar con una en la que puedas confiar marca la diferencia. Lintriage te permite recopilar evidencias completa y estructurada sin depender de múltiples scripts dispersos que solo compliquen la investigación.
¡Descárgala, pruébala y cuéntanos qué te gustaría ver en futuras versiones!
¡Esperamos que Lintriage se convierta en una aliada en tus investigaciones forenses!