Curiosidades De Hackers
CSIRTDFIRForense Digital

Chainsaw: la herramienta del DFIR para tu CSIRT (rápida, precisa y lista para cazar)


En respuesta a incidentes, cada minuto cuenta.
Cuando los logs se acumulan y el tiempo apremia, Chainsaw transforma volúmenes masivos de registros en señales claras, priorizadas y accionables, detectando persistencia, ejecución anómala o movimiento lateral en cuestión de minutos.

Portátil, ultrarrápido y utilizable incluso sin un EDR o SIEM, Chainsaw es el aliado ideal del analista DFIR o del equipo CSIRT que necesita ver antes, actuar primero y documentar con rigor.


🧩 ¿Qué es Chainsaw?

Chainsaw es una herramienta ligera de línea de comandos desarrollada por WithSecure Countercept para analizar y cazar en registros forenses de Windows, especialmente los archivos .evtx.
Está pensada para first responders, portable y muy rápida: ideal para entornos sin conexión o para análisis en campo.

📸 Figura 1 – Uso básico de Chainsaw y comandos disponibles

Con ella puedes:

  • Buscar y correlacionar en miles de eventos en segundos.
  • Aplicar reglas Sigma o detecciones nativas para elevar señales relevantes.
  • Exportar resultados estructurados en texto, CSV o JSON.
  • Usarla en Windows, Linux o macOS, tanto en laboratorio como en producción.

🧠 Sigma + Chainsaw: el tándem ganador

Sigma es el lenguaje universal para describir comportamientos sospechosos a partir de logs.
Chainsaw convierte esas descripciones en acción, aplicándolas sobre tus artefactos locales de eventos de Windows.

📸 Figura 2 – Ejecución de Chainsaw con reglas Sigma mapeadas para EVTX

Aquí se observa un ejemplo real:

chainsaw.exe hunt EVTX-ATTACK-SAMPLES/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

Con esta ejecución:

  • Se cargan reglas Sigma.
  • Se correlacionan artefactos .evtx y .evt.
  • Se identifican eventos relevantes agrupados por detección.

📸 Figura 3 – Detecciones basadas en Sigma aplicadas a logs forenses

En este caso, Chainsaw detectó cambios en cuentas DSRM y enumeraciones de políticas de contraseñas, ambos indicios de actividad administrativa sospechosa.


🛡️ Valor directo para CSIRT y DFIR

  • Velocidad: análisis forense o hunting en minutos, no horas.
  • 🌐 Cobertura: visibilidad sin necesidad de agentes ni EDR.
  • 📜 Estandarización: misma sintaxis y reglas Sigma usadas globalmente.
  • 🤝 Colaboración: resultados claros, trazables y compartibles.

📸 Figura 4 – Ejecución sobre muestras EVTX con detección nativa de amenazas

Chainsaw incluye detecciones integradas (“Built-in Logic”) para eventos clave de Windows Defender, ayudando a correlacionar eventos con malware conocido o actividades laterales.


🔬 Flujo de trabajo DFIR recomendado

1️⃣ Reúne los artefactos de Windows (logs de eventos, Sysmon, seguridad, sistema).
2️⃣ Ejecuta Chainsaw con detecciones Sigma y sus mapeos correspondientes.
3️⃣ Prioriza hallazgos críticos:

  • Persistencia (autoruns, services, tasks)
  • Movimiento lateral (PsExec, WinRM, RDP)
  • Creación de usuarios o grupos sospechosos
  • Limpieza o borrado de logs
    4️⃣ Exporta resultados a CSV o JSON para análisis más profundo.
    5️⃣ Retroalimenta tus Sigma rules con lo aprendido.

📸 Figura 5 – Ejemplo de detecciones integradas (usuarios, grupos, limpieza de logs)

Aquí, Chainsaw identifica tres comportamientos de riesgo:

  • Limpieza de logs del sistema (System log was cleared).
  • Creación de nuevos usuarios.
  • Inclusión de cuentas en el grupo de administradores.

📂 Exportación estructurada de hallazgos

El valor de Chainsaw no termina en la detección: puedes generar salidas organizadas para análisis adicional o archivado.

📸 Figura 6 – Exportación de detecciones a CSV con --csv chainsaw_output

El comando:

chainsaw.exe hunt evtx_attack_samples --lateral-all --csv chainsaw_output

Crea automáticamente ficheros estructurados con los resultados de cada detección.

Cada CSV incluye el contexto: fecha, evento, usuario, host y tipo de detección.
Estos archivos pueden importarse en Excel, Kibana o tu plataforma SIEM para enriquecer investigaciones.


🧭 Buenas prácticas de uso

  • 🔄 Actualiza periódicamente tus reglas Sigma y mapeos YAML.
  • 🧩 Etiqueta tus hallazgos: host, usuario, IP, timeline y contexto.
  • ⚙️ Integra salidas CSV/JSON en tu pipeline SIEM o IR dashboard.
  • 🧠 Practica hunts periódicos con datasets simulados (Atomic Red Team, APT datasets, etc.).

📌 Conclusiones

Chainsaw convierte el caos de los logs en inteligencia accionable.
Su diseño rápido, modular y portable lo hace ideal para CSIRTs que buscan una herramienta ágil y confiable sin depender de infraestructura pesada.

En combinación con Sigma, ofrece un marco coherente de detección, correlación y documentación que acelera el análisis forense y refuerza la trazabilidad de tus incidentes.

“Cuando cada segundo importa, Chainsaw corta el ruido para dejar solo lo que realmente importa.”



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *