Tsurugi Linux: DFIR y Análisis de Malware Made in Italy
Guía completa de Tsurugi Linux, la distribución DFIR italiana para análisis forense digital, análisis de malware y OSINT. Herramientas, modos de operación, análisis forense y diferencias con SIFT y CAINE.
Qué es Tsurugi Linux
Tsurugi Linux es una distribución forense italiana creada por Giovanni Rattaro y Marco Giorgi, dos investigadores con amplia experiencia en DFIR (Digital Forensics and Incident Response). El nombre "Tsurugi" proviene de un tipo de espada japonesa recta de doble filo, simbolizando la precisión que requiere la investigación digital.
Lo que distingue a Tsurugi de otras distribuciones forenses es su enfoque integral. Mientras SIFT se centra en forense de disco y memoria, y REMnux en análisis de malware, Tsurugi combina tres disciplinas en un solo entorno:
- Digital Forensics: análisis completo de disco, memoria, registro y timeline
- Malware Analysis: reverse engineering y análisis estático/dinámico
- OSINT: investigación de fuentes abiertas y recopilación de inteligencia
Esta combinación la hace especialmente útil para investigadores que necesitan saltar entre disciplinas durante una investigación: encontrar un artefacto forense, analizar el malware asociado y rastrear al actor de amenaza, todo sin cambiar de entorno.
Modos de operación
Tsurugi ofrece dos modos de arranque diferenciados:
Modo Forense (Forensic Mode)
El modo forense arranca el sistema con protecciones específicas para preservar la integridad de la evidencia:
- Montaje en solo lectura: los discos conectados NO se montan automáticamente
- Sin swap: la memoria swap está desactivada para evitar escrituras involuntarias
- Write blocker por software: bloqueo de escritura a nivel de kernel para dispositivos conectados
- Sin automount: ningún dispositivo de almacenamiento se monta sin intervención explícita del investigador
# En modo forense, verificar que el write blocker está activo
cat /proc/cmdline
# Debe incluir: noswap forensic_mode
# Verificar que los discos NO están montados
lsblk
mount | grep /dev/sd
Modo Laboratorio (Lab Mode)
El modo laboratorio permite operaciones de lectura/escritura normales, adecuado para:
- Análisis de malware (necesita ejecutar muestras)
- Procesamiento de datos (crear timelines, exportar resultados)
- Práctica y formación
Instalación
Descarga e instalación como VM
# Descargar ISO desde https://tsurugi-linux.org/downloads.php
# Crear nueva VM en VirtualBox o VMware
# Configuración recomendada:
# RAM: 4 GB mínimo (8 GB para análisis de memoria)
# Disco: 80 GB
# CPU: 2 cores
# Red: host-only para análisis forense
# Arrancar desde la ISO → elegir modo:
# 1. Forensic Mode (preservación de evidencia)
# 2. Lab Mode (operaciones de escritura permitidas)
# 3. Install (instalar en disco)
Live USB para trabajo de campo
Tsurugi es especialmente útil como sistema live en USB para respuesta a incidentes in-situ:
# Crear USB bootable
sudo dd if=tsurugi-latest.iso of=/dev/sdb bs=4M status=progress sync
# Arrancar desde USB en la escena
# Elegir Forensic Mode para adquisición
# Los discos del sistema investigado NO se tocan
Herramientas principales
Forense de disco
| Herramienta | Uso |
|---|---|
| Autopsy | Plataforma forense con interfaz gráfica. Análisis automatizado |
| The Sleuth Kit | Suite CLI para análisis de sistemas de archivos |
| Guymager | Adquisición de disco con interfaz gráfica y verificación de integridad |
| dc3dd | Adquisición de disco con hashing integrado |
| FTK Imager | Adquisición y análisis de imágenes forenses |
| ewftools | Herramientas para formato E01 (EnCase) |
| Bulk Extractor | Extracción automatizada de artefactos (emails, URLs, tarjetas de crédito, GPS) |
Forense de memoria
| Herramienta | Uso |
|---|---|
| Volatility 2 y 3 | Framework completo de análisis de memoria |
| Rekall | Alternativa a Volatility con perfiles automáticos |
| LiME | Adquisición de memoria en Linux en vivo |
Análisis de malware
| Herramienta | Uso |
|---|---|
| Ghidra | Desensamblador y decompilador (NSA) |
| Radare2 | Framework de reverse engineering CLI |
| YARA | Reglas de detección de malware |
| capa | Detección automática de capacidades del malware |
| oletools | Análisis de documentos Office maliciosos |
| pdf-parser | Análisis de PDFs maliciosos |
| CyberChef | Deobfuscación y transformaciones de datos |
| Detect It Easy | Identificación de packer y compilador |
OSINT
| Herramienta | Uso |
|---|---|
| Maltego CE | Análisis visual de relaciones entre entidades |
| theHarvester | Recopilación de emails, subdominios, hosts |
| Sherlock | Búsqueda de usernames en redes sociales |
| SpiderFoot | Automatización de OSINT |
| ExifTool | Extracción de metadatos |
| Tor Browser | Acceso a la dark web |
Análisis de red
| Herramienta | Uso |
|---|---|
| Wireshark | Captura y análisis de tráfico |
| NetworkMiner | Análisis forense de PCAPs |
| Xplico | Reconstrucción de sesiones de red desde PCAPs |
| tcpflow | Extracción de flujos TCP |
Análisis de dispositivos móviles
| Herramienta | Uso |
|---|---|
| ADB (Android Debug Bridge) | Extracción de datos de dispositivos Android |
| idevicetools | Herramientas para dispositivos iOS |
| ALEAPP | Android Logs Events And Protobuf Parser |
| iLEAPP | iOS Logs Events And Plists Parser |
Flujo de trabajo DFIR con Tsurugi
Respuesta a incidente: paso a paso
FASE 1: CONTENCIÓN Y ADQUISICIÓN (Forensic Mode)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Arrancar Tsurugi en Forensic Mode (USB o VM)
2. Conectar el disco/imagen del sistema comprometido
3. Verificar que el write blocker está activo
4. Adquirir imagen forense:
guymager → seleccionar disco → formato E01 → iniciar
FASE 2: ANÁLISIS FORENSE (Lab Mode)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5. Montar imagen en solo lectura
6. Autopsy → crear caso → añadir imagen → análisis automatizado
7. log2timeline → crear super-timeline
8. RegRipper → analizar registro de Windows
9. Bulk Extractor → extraer artefactos automáticamente
FASE 3: ANÁLISIS DE MALWARE (Lab Mode)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
10. Extraer ejecutables sospechosos de la imagen
11. YARA scan con reglas actualizadas
12. capa → identificar capacidades
13. Ghidra → reverse engineering si es necesario
14. Extraer IOCs (hashes, dominios, IPs)
FASE 4: INTELIGENCIA (Lab Mode)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
15. Buscar hashes en MalwareIntel, VirusTotal, MalwareBazaar
16. Identificar familia de malware y actor de amenaza
17. OSINT sobre infraestructura C2 detectada
18. Maltego → mapear relaciones entre indicadores
FASE 5: DOCUMENTACIÓN
━━━━━━━━━━━━━━━━━━━━━━
19. Generar timeline del incidente
20. Compilar IOCs en formato estructurado (STIX/CSV)
21. Redactar informe con hallazgos y recomendaciones
Adquisición forense con Guymager
Guymager es una de las herramientas estrella de Tsurugi para adquisición de disco con interfaz gráfica:
1. Iniciar Guymager (requiere root)
2. Seleccionar el disco fuente (identificado como read-only)
3. Configurar destino:
- Formato: E01 (comprimido con metadatos)
- Segmentos: 2 GB por archivo
- Hash: SHA-256 + MD5
- Compresión: deflate
4. Rellenar metadatos del caso:
- Número de caso
- Nombre del investigador
- Descripción de la evidencia
5. Iniciar adquisición
6. Verificar hashes automáticamente al finalizar
Análisis de timeline
# Crear timeline con Plaso/log2timeline
log2timeline.py --storage-file case001.plaso /mnt/evidence/
# Filtrar por ventana de tiempo del incidente
psort.py -o l2tcsv case001.plaso -w timeline_filtered.csv \
"date > '2026-06-01' AND date < '2026-06-03'"
# Buscar artefactos específicos en la timeline
grep -i "powershell" timeline_filtered.csv
grep -i "schtasks" timeline_filtered.csv
grep -i "psexec" timeline_filtered.csv
Tsurugi vs otras distribuciones forenses
| Característica | Tsurugi | SIFT | CAINE | REMnux |
|---|---|---|---|---|
| Forense disco | Excelente | Excelente | Excelente | No |
| Forense memoria | Excelente | Excelente | Bueno | Bueno |
| Análisis malware | Bueno | Básico | No | Excelente |
| OSINT | Bueno | No | No | No |
| Write blocker | Sí | No | Sí | No |
| Modo forense | Sí | No | Sí | No |
| Forense móvil | Bueno | Básico | Bueno | No |
| GUI adquisición | Guymager | No | Guymager | No |
| Origen | Italia | SANS (USA) | Italia | USA |
Tsurugi vs CAINE
CAINE (Computer Aided INvestigative Environment) es otra distribución forense italiana. Las diferencias principales:
- CAINE: más ligera, centrada exclusivamente en forense de disco. Ideal para adquisición in-situ
- Tsurugi: más completa, incluye análisis de malware y OSINT. Ideal para investigación integral
Ambas comparten la filosofía de preservación de evidencia con write blocker y modo forense.
Comunidad y formación
Tsurugi está respaldada por la comunidad DFIR italiana, que es una de las más activas de Europa:
- DEFT Linux: otra distribución forense italiana (ahora menos mantenida, Tsurugi la reemplaza)
- Conferencias: HackInBo, IISFA Forum, Security Summit
- Formación: los creadores de Tsurugi imparten cursos especializados en DFIR
Limitaciones
- Comunidad menor: comparada con Kali o REMnux, la comunidad de Tsurugi es más pequeña
- Documentación: menos documentación en inglés que SIFT o REMnux
- Actualizaciones: el ciclo de actualizaciones es menos predecible que el de SIFT
- Peso de la ISO: la distribución completa es pesada (más de 8 GB)
- Herramientas de malware: REMnux sigue siendo superior para análisis de malware puro
Tsurugi Linux destaca por su versatilidad. Para investigadores que necesitan pasar de forense a malware a OSINT sin cambiar de entorno, es una opción excelente que combina lo mejor de cada disciplina en una distribución bien integrada y con sólidas credenciales forenses.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.