События 0
Ru
Ua En
События 0
Результат поиска:
Детальнее
Главная Пресс-центр SuperMem: Бесплатный инструмент CrowdStrike Incident Response для автоматизации обработки образов памяти
SuperMem: Бесплатный инструмент CrowdStrike Incident Response для автоматизации обработки образов памяти- image 1
CrowdStrike Новости
Опубликовано:

SuperMem: Бесплатный инструмент CrowdStrike Incident Response для автоматизации обработки образов памяти

Проведение анализа памяти при расследовании инцидентов может быть изнурительным и сложным процессом из-за отсутствия коммерческих вариантов обработки образцов памяти, универсальных инструментов с открытым исходным кодом для выполнения указанной функции, а также нехватки знаний и навыков. Осознавая это, компания CrowdStrike создала SuperMem – скрипт обработки памяти Windows с открытым исходным кодом, помогающий экспертам последовательно и быстро обрабатывать образцы памяти во время расследований.

SuperMem можно найти в репозитории CrowdStrike GitHub здесь.

Что такое SuperMem?

SuperMem, или «winSuperMem.py», – это сценарий Python, последовательно, быстро и избирательно анализирующий образцы памяти Windows. В его основе лежит методология сортировки, которая делает инструмент простым в использовании, а следовательно, более доступным для криминалистических аналитиков. Методология сортировки состоит из трех типов: Быстрый, Полный и Комплексный.

  • Быстрый: очень ограниченная обработка.
  • Полный: более глубокая обработка.
  • Комплексный: всеобъемлющая обработка!

Примечание: winSuperMem.py был разработан в среде Linux и не тестировался для работы на Windows. Но конфигурация скрипта для запуска на системе Windows вполне возможна.

Почему CrowdStrike создали это?

Вдохновившись vShot, CrowdStrike написали SuperMem для поддержки криминалистических сообществ. Этот скрипт оказывает помощь в разборе образцов памяти Windows при расследовании инцидента.

На что ориентировались разработчики в процессе создания SuperMem?

  • Простота использования одновременно с сохранением функциональности.SuperMem был создан с минимальным количеством переключателей командной строки для обеспечения простоты в эксплуатации, но при этом с сохранением высокой производительности. После удовлетворения всех требований скрипта вы можете запустить SuperMem с помощью всего трех командных переключателей.
  • Аналитическая доступность. SuperMem выводит данные в доступных форматах, таких как CSV и body file. Кроме того, структура вывода хранится в отдельных каталогах в соответствии с функцией обработки.
  • Возможность расширения. По мере изменений и обнаружения новых артефактов, судебным аналитикам нужен способ легко обновлять свои инструменты в соответствии с этим. SuperMem написан в модульной структуре, в которую можно добавлять дополнительные функции обработки инструментов. Чтобы осуществить это, вам нужно просто создать и добавить эту функцию к желаемому типу сортировки. SuperMem также имеет высокую конфигурированность, поскольку написан на Python3 и структурирован так, чтобы обеспечить максимальные возможности настройки.
  • Скорость и обновление сведений о ходе работы. Разработчики SuperMem, являясь судебными аналитиками, хотят, чтобы инструменты CrowdStrike обеспечивали обновление сведений о прогрессе работы и были максимально эффективными, что позволит вам рационально использовать свое время. По возможности SuperMem обновляет информацию о ходе обработки и предполагаемом времени завершения каждого стека обработки. Кроме того, этот инструмент является многопоточным, что повышает скорость его работы, причем количество потоков может изменяться в зависимости от спецификаций вашей системы.

На что способен SuperMem?

Сейчас SuperMem состоит из одного сценария Python «winSuperMem.py», предназначенного для обработки образов памяти Windows. Запустив SuperMem с указанным типом сортировки (Быстрый, Полный или Комплексный), сценарий обработает образец памяти несколькими способами.

Текущие функции обработки, которые включает в себя SuperMem:

Volatility 3. В зависимости от выбранного типа сортировки, SuperMem будет запускать отобранные плагины Volatility 3. Volatility 3 был выбран для SuperMem из-за его скорости и формата вывода. Кроме того, каждый плагин может быть сконфигурирован с уникальными параметрами.

Bulk Extractor. Каждый тип сортировки будет запускать Bulk Extractor на образе памяти с параметрами по умолчанию.

Строки. Каждый тип сортировки будет запускать на образе памяти строки Unicode, ASCII и BigEndian. EVTXtract. В зависимости от выбранного типа сортировки SuperMem запустит EVTXtract с параметрами по умолчанию.

Получение файлов. В зависимости от выбранного типа сортировки SuperMem получает такие файлы, как загруженные библиотеки DLL, драйверы, процессы, ветки реестра и другие типы файлов и их пути.

Сбор IOCs. В зависимости от выбранного типа сортировки SuperMem попытается собрать нечастные IP-адреса из результатов Volatility 3 NetScan и добавить их в файл IOC.csv.

Plaso. В зависимости от выбранного типа сортировки, SuperMem запустит log2timeline по всему каталогу вывода, разбирая файлы дампа и вывод Volatility. Затем SuperMem запустит psort на выходе и создаст супервременную шкалу активности.

Yara. Только для комплексной диагностики. SuperMem запустит Yara на основе предоставленного файла Yara по всем сброшенным драйверам, процессам и библиотекам DLL. Сегодня сканирование Yara по всему образу памяти не интегрировано, поскольку это может забрать очень много времени и потенциально генерировать много шума.

Примечание: Целью SuperMem является использование только Volatility 3, но, к сожалению, пока достаточной поддержки плагинов нет, а значит, он все еще находится на стадии разработки, поэтому Volatility 2 до сих пор необходим.

Функции обработки для каждого типа сортировки

Быстрый:

  • Volatility 3
  • Строки (strings)
  • Bulk Extractor

Полный:

  • Быстрая сортировка
  • Volatility 3 +
  • Volatility 2
  • EVTXtract
  • Файлы dump (только заданные файлы и пути)
  • Dump Registry Hives
  • Plaso
  • Сбор сетевых IOCs

Комплексный:

  • Полная сортировка
  • Сброс загруженных DLL, процессов и драйверов Yara

Подробный список каждого плагина Volatility, используемого в режимах Quick triage, Full triage и Comprehensive triage, представлен в Python-скрипте «winSuperMem.py».

Как вы можете использовать этот инструмент?

Установка. SuperMem имеет несколько зависимых компонентов, поскольку для обработки образца памяти используется несколько криминалистических инструментов. Сначала вам будет необходимо установить или иметь такие инструменты:

  • Python 3 для запуска скрипта и Volatility 3
  • Python 2 для запуска Volatility 2
  • Строки (strings)
  • Volatility 3
  • Volatility 2 з community-плагинами
  • Bulk Extractor
  • Plaso/Log2Timeline
  • Yara

SuperMem имеет несколько зависимых компонентов Python, которые можно установить с помощью следующей команды:

pip3 install -r requirements.txt

После установки всех необходимых инструментов и зависимостей вам нужно будет обновить глобальные переменные в верхней части сценария Python, чтобы они указывали на путь установки инструментов.

# Globals Likely Needing Updated
THREADCOUNT = 12
EVTXTRACTPATH = "/usr/local/bin/evtxtract"
VOL3PATH = "/usr/bin/vol3"
VOL2PATH = "/usr/bin/vol.py"
VOL2EXTRAPLUGINS = "/usr/share/volatility/plugins/community/"
BULKPATH = "/usr/bin/bulk_extractor"
LOG2TIMELINEPATH = "/usr/bin/log2timeline.py"
PSORTPATH = "/usr/bin/psort.py"
YARAPATH = "/usr/bin/yara"
STRINGSPATH = "/bin/strings"
YARARULESFILE = "/path/to/yara/Yarafile.txt"

Запуск

После настройки сценария с указанием путей к инструментам, вы можете запустить SuperMem с помощью следующей команды:

python3 winSuperMem.py -f memdump.mem -o output -tt 3

Эта команда выполнит комплексную обработку образца памяти «memdump.mem« и выведет в каталог «output«. Кроме того, вы можете опционально поставить переключатель команды -profile=для ускорения обработки плагинов Volatility 2, если вам известен их профиль.

После завершения выполнения сценария у вас будет исходный каталог для каждой из уникальных функций обработки.

Как считывать исходные данные?

Ниже приведена структура исходного каталога комплексной сортировки:

  • BEoutputdir: исходный файл Bulk Extractor
  • DumpedDllsOutput: дампированные DLL, загруженные в процессы
  • DumpedFilesOutput: дампированные файлы в памяти
  • DumpedModules: выгрузка загруженных драйверов
  • DumpedProcessOutput: выгрузка запущенных процессов
  • DumpedRegistry: выгрузка загруженных ветвей реестра
  • EVTxtract: выгрузка данных с помощью EVTxtract
  • IOCs.csv: собранные IPадресса, идентифицированные в наборе исходных данных
  • Logging.log: журнал для сценария
  • Plaso: основная временная шкала Plaso
  • Строки: вывод строк Unicode, Ascii, Big Endian
  • Volatility 2: вывод плагина Volatility 2
  • Volatility3: вывод плагина Volatility 3
  • Yara: соответствия Yara

Вывод

С помощью SuperMem анализ памяти Windows, особенно при расследовании инцидентов, может быть последовательным и упорядоченным. Кроме того, благодаря возможности выбора типов сортировки, аналитики могут остановиться на варианте, который лучше всего подходит для их потребностей в расследовании, чтобы сократить время обработки.

Узнайте больше о том, как службы CrowdStrike помогают организациям быстро и эффективно подготовиться ко взлому, отреагировать на него и устранить последствия, а также о других решениях, которые помогут вашей команде безопасности.

Напоминаем, что компания iIT Distribution – поставщик новейших решений и инструментов, позволяющих корпоративным клиентам использовать передовые технологии в области построения и обслуживания IT-инфраструктуры и обеспечения кибербезопасности. Наши специалисты проведут предварительную экспертизу проекта и оценят наличие условий его реализации на предприятии.

НОВОСТИ

Текущие новости по вашей теме

Commvault Новости
Commvault AI Protect: Контроль над автономными ИИ-агентами
Детальнее
Cloudflare Новости
Запуск Cloudflare Sandboxes: безопасная среда для ИИ-агентов
Детальнее
Cribl Новости
Cribl AI для оптимизации ИТ-инфраструктуры
Детальнее
Все новости
Все новости
Этот сайт использует файлы cookie для удобства. Политика конфиденциальности