Cyber Triage 3.13 发布，新增功能概览

Cyber Triage 3.13 for Windows - 数字取证和事件响应

Digital Forensics Specialized For Incident Response

请访问原文链接：https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

唯一专门用于事件响应的数字取证工具快速、准确和简单地完成入侵调查

新增功能

3.13 Adds MemProcFS and Extends the S3 and Recorded Future Sandbox Integrations

2024 年 12 月 18 日

我们今年的节日礼物是 3.13 版本中出现的一些经常请求的功能：

• MemProcFS 支持 Windows 10 和 11 映像

• 扩展了云存储集成，可以更轻松地访问 S3 数据

• 更多沙盒恶意软件扫描详细信息

您可以在我们的发行说明中找到所有功能，但本篇博客文章将介绍这三个新功能。

MemProcFS

MemProcFS 是一个开源项目，允许您将内存映像视为挂载的文件系统。它还对更现代的 Windows 版本提供了很好的支持。

Cyber Triage 现在允许您选择使用 MemProcFS 或 Volatility 2（我们无法集成 Volatility 3）。无论您采用何种方法，它都是相同的用户体验。现在，系统只会提示您使用哪个：

当您使用此方法时：

• Cyber Triage 将调用 MemProcFS 来分析映像并提取进程和网络连接等项目。

• 工件将在自动分析管道中运行，并分配分数。这将包括来自 MemProcFS 的 “FindEvil” 模块。

• 您可以查看结果并制作最终报告。

对于那些好奇的人，我们实际上并没有挂载映像。我们使用 MemProcFS 作为库来访问内容，这些内容被保存为 ZIP 文件。该包装器在此处发布。

扩展的 S3 / Azure 集成

Cyber Triage Collector 多年来一直能够上传到 S3，现在主 Cyber Triage 应用程序可以直接访问该上传的数据。

这样可以更快地导入从现场发送的数据，并且不必转到 AWS 或类似控制台。

您需要做的就是：

• 配置一个或多个包含凭据和存储桶信息的 “Cloud Storage Profiles”。

• 当您要导入文件时，请选择其中一个配置文件，它将显示该远程存储桶中的内容。

作为这项工作的一部分，我们正式确定了拥有两种类型的云存储角色的概念：

• Upload：此角色只能写入存储桶，不能读取。这将由 Collector 使用并发送到可能遭到入侵的主机。

• Manager：此角色将用于读取存储桶内容。这将保留在受信任的 Cyber Triage 计算机上。

您可以在设置配置文件时指定这两个选项：

我们还扩展了用户手册，提供了有关如何配置 AWS 环境以最大限度地减少数据泄露的分步说明。AWS S3 通常是我们的用户第一次接触到 AWS 的复杂性。

详细记录的 Future Sandbox 结果

另一个流行的功能是将文件上传到 Recorded Future 沙箱的能力。我们过去会为您提供发现内容的摘要报告，但这有时无法显示某些人想要的所有详细信息。

您现在可以从 Sandbox 访问完整报告。

要使用此功能：

• 右键单击文件并选择上传到 Recorded Future

• 几分钟后，转到控制面板并选择查看 Recorded Future 结果。

• 顶部有一个新的 “Details” 选项卡，可为您提供完整的报告。以下是恶意软件使用的反混淆 Powershell 示例。

下载地址

Cyber Triage 3.13 Release - Adds MemProcFS and Extends the S3 and Recorded Future Sandbox IntegrationsDecember 18, 2024

想要开始学习和研究，请访问：https://sysin.org/blog/cybertriage-3/

更多：HTTP 协议与安全