Cyber Triage 3.13 for Windows - 数字取证和事件响应
Digital Forensics Specialized For Incident Response
请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查
新增功能
3.13 Adds MemProcFS and Extends the S3 and Recorded Future Sandbox Integrations
2024 年 12 月 18 日
我们今年的节日礼物是 3.13 版本中出现的一些经常请求的功能:
- MemProcFS 支持 Windows 10 和 11 映像
- 扩展了云存储集成,可以更轻松地访问 S3 数据
- 更多沙盒恶意软件扫描详细信息
您可以在我们的发行说明中找到所有功能,但本篇博客文章将介绍这三个新功能。
MemProcFS
MemProcFS 是一个开源项目,允许您将内存映像视为挂载的文件系统。它还对更现代的 Windows 版本提供了很好的支持。
Cyber Triage 现在允许您选择使用 MemProcFS 或 Volatility 2(我们无法集成 Volatility 3)。无论您采用何种方法,它都是相同的用户体验。现在,系统只会提示您使用哪个:
当您使用此方法时:
- Cyber Triage 将调用 MemProcFS 来分析映像并提取进程和网络连接等项目。
- 工件将在自动分析管道中运行,并分配分数。这将包括来自 MemProcFS 的 “FindEvil” 模块。
- 您可以查看结果并制作最终报告。
对于那些好奇的人,我们实际上并没有挂载映像。我们使用 MemProcFS 作为库来访问内容,这些内容被保存为 ZIP 文件。该包装器在此处发布。
扩展的 S3 / Azure 集成
Cyber Triage Collector 多年来一直能够上传到 S3,现在主 Cyber Triage 应用程序可以直接访问该上传的数据。
这样可以更快地导入从现场发送的数据,并且不必转到 AWS 或类似控制台。
您需要做的就是:
- 配置一个或多个包含凭据和存储桶信息的 “Cloud Storage Profiles”。
- 当您要导入文件时,请选择其中一个配置文件,它将显示该远程存储桶中的内容。
作为这项工作的一部分,我们正式确定了拥有两种类型的云存储角色的概念:
- Upload:此角色只能写入存储桶,不能读取。这将由 Collector 使用并发送到可能遭到入侵的主机。
- Manager:此角色将用于读取存储桶内容。这将保留在受信任的 Cyber Triage 计算机上。
您可以在设置配置文件时指定这两个选项:
我们还扩展了用户手册,提供了有关如何配置 AWS 环境以最大限度地减少数据泄露的分步说明。AWS S3 通常是我们的用户第一次接触到 AWS 的复杂性。
详细记录的 Future Sandbox 结果
另一个流行的功能是将文件上传到 Recorded Future 沙箱的能力。我们过去会为您提供发现内容的摘要报告,但这有时无法显示某些人想要的所有详细信息。
您现在可以从 Sandbox 访问完整报告。
要使用此功能:
- 右键单击文件并选择上传到 Recorded Future
- 几分钟后,转到控制面板并选择查看 Recorded Future 结果。
- 顶部有一个新的 “Details” 选项卡,可为您提供完整的报告。以下是恶意软件使用的反混淆 Powershell 示例。
下载地址
Cyber Triage 3.13 Release - Adds MemProcFS and Extends the S3 and Recorded Future Sandbox Integrations
December 18, 2024
想要开始学习和研究,请访问:https://sysin.org/blog/cybertriage-3/
更多:HTTP 协议与安全
