DFIR sous Linux: Triage Vivant avec UAC et Velociraptor

Trois heures du matin, un Debian 12 expose un cron suspect qui reecrit /etc/ld.so.preload toutes les 90 secondes. Le mauvais reflexe est d eteindre la machine; le bon est d ouvrir le runbook de triage et de capturer l etat vivant avant que l attaquant ne remarque la lumiere allumee. Chez Basilisk ce scenario revient chaque mois dans les labos de simulation, et la regle est simple: ordre de volatilite d abord, hypotheses ensuite. Memoire, connexions, processus, descripteurs de fichiers ouverts et modules du noyau sont prioritaires, car un reboot ou un `kill -9` mal place detruit 80% de ce qui compte.

Notre boite a outils par defaut commence avec UAC (Unix-like Artifacts Collector) de Tulpa Security et Velociraptor de Rapid7. UAC est parfait pour un triage one-shot offline: vous deposez un tar.gz de ~6Mo, executez `./uac -p ir_triage /mnt/preuve`, et en 8 a 15 minutes vous avez hashes, dump de /proc, journald, bash_history de tous les utilisateurs, listing cron et configuration SSH compresses. Velociraptor brille quand il faut faire tourner du VQL sur une flotte: cent vingt hotes dans une DMZ, hunt orchestree, artefacts `Linux.Sys.BashHistory` et `Linux.Detection.Yara.Process` en parallele. Si vous n avez pas encore monte le lab de base, revoyez Pentest Web depuis Zero: Construire un Lab Sur avec DVWA, Juice Shop et Burp Suite avant de simuler des incidents reels.

L acquisition memoire reste le point le plus fragile sous Linux. Sur noyau 6.x, AVML de Microsoft Research est l option la plus fiable quand LiME echoue a compiler contre des en-tetes manquants. Commande reelle: `avml --compress /preuve/memdump.lime`. Reservez au moins le double de la RAM sur disque et n ecrivez jamais sur le disque de la victime; montez un NFS read-write sur /mnt/triage ou un USB chiffre LUKS. Apres capture, l analyse part vers Volatility 3 avec profil auto-detecte, et c est la que le pipeline rejoint Memory Forensics avec Volatility 3 : Analyser des Dumps en Lab Reproductible. Sans dump memoire, tout rootkit LD_PRELOAD reste une legende urbaine dans le rapport.

La persistance sous Linux vit rarement dans un seul endroit. Dans des cas recents de mineurs Kinsing nous avons trouve quatre vecteurs simultanes: une unite systemd dans /etc/systemd/system/.cache.service, une entree dans la crontab de root, une modification de /etc/rc.local et un wrapper SUID dans /usr/local/sbin/ssh. UAC attrape tout cela avec le profil `ir_triage`, mais lancer aussi `find / -newermt '2026-06-01' -type f -mtime -8 2>/dev/null` ferme les trous. Pour correler avec les techniques Windows equivalentes, l equipe consulte Persistance Windows : 10 Techniques Documentees et leurs Contre-mesures, car les attaquants opportunistes reutilisent les memes patterns entre plateformes.

Velociraptor change la donne quand on passe d un hote a une flotte. On lance un serveur sur t3.medium, on genere les clients Linux avec `velociraptor config client`, on les distribue via Ansible, et en 20 minutes on a de la visibilite. Les hunts les plus utiles de notre playbook sont `Linux.Network.NetstatEnriched` pour les sessions actives, `Linux.Sys.SUID` pour les binaires suspects, et une regle Yara compilee avec des signatures Pupy, Sliver et Merlin. Quand un IOC matche, on exporte un collection zip signe et on bascule vers l analyse statique en sandbox isolee, comme decrit dans Analyse de Malware en Lab Isole: Setup Securise avec FlareVM et REMnux. L astuce est de ne jamais sauter le hashing SHA-256 avant de deplacer un artefact.

Le threat hunting post-triage ferme la boucle. Nous transformons les detections en regles Sigma poussees dans Elastic, convertissant l incident en capacite defensive permanente, flux detaille dans Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection. Nous documentons aussi chaque decision dans une chain of custody avec timestamp UTC, hash et operateur, car meme en lab la discipline forme le muscle necessaire pour le cas reel. Pour les hotes qui survivent a l incident, nous appliquons le hardening selon Hardening de Serveur Linux: CIS Benchmark Applique Sans Casser la Prod et revoyons SSH selon Durcissement SSH 2026 : Algorithmes, Certificats et Bastion Hosts avant de les remettre en production simulee.

Conclusion pratique: preparez aujourd hui une cle USB LUKS avec UAC, AVML et un client Velociraptor preconfigure vers votre serveur de hunt. Testez sur une VM Debian propre, chronometrez, ajustez le profil et versionnez le tar.gz dans votre depot interne. Quand le pager sonne a 3h du matin vous ne voulez pas lire la documentation, vous voulez collecter la preuve. Le triage vivant n est pas un art, c est une checklist disciplinee executee sous pression.