DFIR no Linux: Triagem ao Vivo com UAC e Velociraptor

Tres da manha, um Debian 12 expondo um cron suspeito que reescreve /etc/ld.so.preload a cada 90 segundos. O reflexo errado seria desligar a maquina; o reflexo correto e abrir o runbook de triagem e capturar o estado vivo antes que o atacante perceba a luz acesa. Na Basilisk, esse cenario aparece todo mes em laboratorios de simulacao, e a regra e simples: ordem de volatilidade primeiro, hipotese depois. Memoria, conexoes, processos, descritores de arquivo abertos e modulos do kernel sao prioridade absoluta, porque um reboot ou ate um `kill -9` mal colocado destroi 80% do que importa.

Nossa caixa de ferramentas padrao comeca com UAC (Unix-like Artifacts Collector) do Tulpa Security e Velociraptor da Rapid7. UAC e perfeito para triagem one-shot offline: voce sobe um tar.gz de ~6MB, executa `./uac -p ir_triage /mnt/evidencia`, e em 8 a 15 minutos tem hashes, /proc dump, journald, bash_history de todos os usuarios, listagem de cron e configuracoes de SSH compactadas. Ja o Velociraptor brilha quando precisamos rodar VQL em frota: cento e vinte hosts em uma DMZ, hunt orquestrada, artefatos `Linux.Sys.BashHistory` e `Linux.Detection.Yara.Process` rodando em paralelo. Para quem ainda nao montou o lab base, vale revisar Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite antes de simular incidentes reais.

A coleta de memoria continua sendo o ponto mais fragil no Linux. Em kernel 6.x, AVML do Microsoft Research e a opcao mais consistente quando LiME falha em compilar contra cabecalhos ausentes. Comando real: `avml --compress /evidencia/memdump.lime`. Reserve no minimo o dobro da RAM em disco e jamais escreva no disco da vitima; use um NFS read-write montado em /mnt/triagem ou um USB encriptado com LUKS. Depois de capturar, a analise vai para Volatility 3 com profile autodetectado, e e ai que o pipeline conversa com Memory Forensics com Volatility 3: Analisando Dumps em Lab Reproduzivel. Sem dump de memoria, qualquer rootkit LD_PRELOAD vira lenda urbana no relatorio.

Persistencia em Linux raramente vive em um lugar so. Em casos recentes de mineradores Kinsing, encontramos quatro vetores simultaneos: systemd unit em /etc/systemd/system/.cache.service, entrada no crontab do root, modificacao de /etc/rc.local e um wrapper em /usr/local/sbin/ssh com SUID. UAC pega tudo isso com o profile `ir_triage`, mas vale rodar manualmente `find / -newermt '2026-06-01' -type f -mtime -8 2>/dev/null` para fechar gaps. Para correlacionar com tecnicas Windows equivalentes, a equipe consulta Persistencia em Windows: 10 Tecnicas Documentadas e suas Contramedidas, porque atacantes oportunistas reutilizam padroes entre plataformas.

Velociraptor muda o jogo quando saimos de um host para uma frota. Subimos um servidor em t3.medium, geramos clientes Linux com `velociraptor config client`, distribuimos via Ansible e em 20 minutos temos visibilidade. As hunts mais uteis no nosso playbook sao `Linux.Network.NetstatEnriched` para sessoes ativas, `Linux.Sys.SUID` para binarios suspeitos e a regra Yara compilada com assinaturas de Pupy, Sliver e Merlin. Quando o IOC bate, exportamos collection zip assinado e seguimos para analise estatica em sandbox isolada, conforme descrito em Analise de Malware em Lab Isolado: Setup Seguro com FlareVM e Remnux. O segredo e nunca pular a fase de hashing SHA-256 antes de mover artefatos.

Threat hunting pos-triagem fecha o ciclo. Convertemos as deteccoes em regras Sigma e empurramos para o Elastic, transformando o incidente em capacidade defensiva permanente, fluxo detalhado em Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao. Tambem documentamos cada decisao em chain of custody com timestamp UTC, hash e operador, porque mesmo em lab a disciplina forma musculo para o caso real. Para hosts que sobrevivem ao incidente, aplicamos hardening seguindo Hardening de Linux Servidor: CIS Benchmark Aplicado sem Quebrar Producao e revisamos SSH conforme Hardening de SSH 2026: Algoritmos, Certificados e Bastion Hosts antes de devolver para producao simulada.

Takeaway pratico: monte hoje um pendrive LUKS com UAC, AVML e cliente Velociraptor pre-configurado para o seu servidor de hunt. Teste em uma VM Debian limpa, cronometre, ajuste o profile e versione o tar.gz no seu repositorio interno. Quando o pager tocar as 3 da manha, voce nao quer estar lendo documentacao, quer estar coletando evidencia. Triagem ao vivo nao e arte, e checklist disciplinado executado sob pressao.