Cyber Triage 3.13 发布,新增功能概览

Cyber Triage 3.13 for Windows - 数字取证和事件响应

Digital Forensics Specialized For Incident Response

请访问原文链接:https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查

sysin

新增功能

3.13 Adds MemProcFS and Extends the S3 and Recorded Future Sandbox Integrations

2024 年 12 月 18 日

我们今年的节日礼物是 3.13 版本中出现的一些经常请求的功能:

  • MemProcFS 支持 Windows 10 和 11 映像
  • 扩展了云存储集成,可以更轻松地访问 S3 数据
  • 更多沙盒恶意软件扫描详细信息

您可以在我们的发行说明中找到所有功能,但本篇博客文章将介绍这三个新功能。

MemProcFS

MemProcFS 是一个开源项目,允许您将内存映像视为挂载的文件系统。它还对更现代的 Windows 版本提供了很好的支持。

Cyber Triage 现在允许您选择使用 MemProcFS 或 Volatility 2(我们无法集成 Volatility 3)。无论您采用何种方法,它都是相同的用户体验。现在,系统只会提示您使用哪个:

Cyber Triage SYSIN

当您使用此方法时:

  • Cyber Triage 将调用 MemProcFS 来分析映像并提取进程和网络连接等项目。
  • 工件将在自动分析管道中运行,并分配分数。这将包括来自 MemProcFS 的 “FindEvil” 模块。
  • 您可以查看结果并制作最终报告。

对于那些好奇的人,我们实际上并没有挂载映像。我们使用 MemProcFS 作为库来访问内容,这些内容被保存为 ZIP 文件。该包装器在此处发布。

扩展的 S3 / Azure 集成

Cyber Triage Collector 多年来一直能够上传到 S3,现在主 Cyber Triage 应用程序可以直接访问该上传的数据。

这样可以更快地导入从现场发送的数据,并且不必转到 AWS 或类似控制台。

您需要做的就是:

  • 配置一个或多个包含凭据和存储桶信息的 “Cloud Storage Profiles”。
  • 当您要导入文件时,请选择其中一个配置文件,它将显示该远程存储桶中的内容。

Cyber Triage SYSIN

作为这项工作的一部分,我们正式确定了拥有两种类型的云存储角色的概念:

  • Upload:此角色只能写入存储桶,不能读取。这将由 Collector 使用并发送到可能遭到入侵的主机。
  • Manager:此角色将用于读取存储桶内容。这将保留在受信任的 Cyber Triage 计算机上。

您可以在设置配置文件时指定这两个选项:

Cyber Triage SYSIN

我们还扩展了用户手册,提供了有关如何配置 AWS 环境以最大限度地减少数据泄露的分步说明。AWS S3 通常是我们的用户第一次接触到 AWS 的复杂性。

详细记录的 Future Sandbox 结果

另一个流行的功能是将文件上传到 Recorded Future 沙箱的能力。我们过去会为您提供发现内容的摘要报告,但这有时无法显示某些人想要的所有详细信息。

您现在可以从 Sandbox 访问完整报告。

要使用此功能:

  • 右键单击文件并选择上传到 Recorded Future

Cyber Triage SYSIN

  • 几分钟后,转到控制面板并选择查看 Recorded Future 结果。
  • 顶部有一个新的 “Details” 选项卡,可为您提供完整的报告。以下是恶意软件使用的反混淆 Powershell 示例。

Cyber Triage SYSIN

下载地址

Cyber Triage 3.13 Release - Adds MemProcFS and Extends the S3 and Recorded Future Sandbox Integrations
December 18, 2024

想要开始学习和研究,请访问:https://sysin.org/blog/cybertriage-3/

更多:HTTP 协议与安全

posted @ 2023-07-19 14:50  sysin  阅读(75)  评论(0编辑  收藏  举报