27.03.2024
iIT Distribution – офіційний дистриб’ютор Holm Security!
20.03.2024
iIT Distribution — срібний партнер IX CIO&CISO Forum!
14.03.2024
Постреліз: Підсумки заходу "Екосистема досконалості: Від інновацій у сфері безпеки до успіху в продажах"
08.03.2024
Звіт CrowdStrike 2024: аналіз глобальних кіберзагроз та стратегії захисту
01.02.2024
Потужна та гнучка мережева видимість разом з Niagara Networks
24.01.2024
Злам Microsoft російськими хакерами та його значення у сфері кібербезпеки
16.01.2024
Беззаперечне лідерство CrowdStrike та визнання Gartner
11.01.2024
iIT Distribution розширює свій портфель, стаючи офіційним дистриб'ютором Fastly
25.12.2023
Що нового пропонує NAKIVO Backup & Replication v10.11 Beta
06.12.2023
Порівняння безпеки кастомного та комерційного програмного забезпечення
29.11.2023
Трансформація кібербезпеки Укртелекому: Оптимізація правил SIEM та швидке виявлення загроз
22.11.2023
CVE-2023-46747: F5 BIG-IP - Вразливість неавторизованого віддаленого виконання коду
14.11.2023
Розширене відстеження загроз: iIT Distribution анонсує партнерство з вендором SOCRadar
13.11.2023
Найкращі практики захисту хмарних сховищ
02.11.2023
Апаратно-програмний комплекс WALLIX Bastion сертифіковано ДЗІ Адміністрації Державної служби спеціального зв’язку та захисту інформації України
18.10.2023
Cisco купує Splunk, але як переконати клієнтів Splunk, що Cisco має переваги
26.09.2023
CrowdStrike забезпечує 100% покриття за результатами MITRE Engenuity ATT&CK Evaluations: Round 5
22.09.2023
Топ 20 приголомшливих статистичних фактів пов'язаних з витоками даних у 2023 році
05.09.2023
Зловмисники можуть "Log in with Microsoft" в Azure Active Directory через вразливість nOAuth
29.08.2023
Миттєва реплікація з NAKIVO Backup & Replication v10.10 Beta
25.08.2023
Як lifecell використовує Picus Complete Security Validation Platform для захисту телекомунікаційного простору в Україні
21.08.2023
iIT Distribution – офіційний дистриб’ютор компанії LogRhythm!
08.08.2023
Кібербезпека в умовах війни: Виклики і пріоритети для держави та бізнесу
07.08.2023
Ризики безпеки Microsoft. Рекомендації для організацій та оцінка безпеки Microsoft від CrowdStrike
31.07.2023
Ефективна комунікація: корпоративні месенджери чи електронна пошта?
21.07.2023
Infinidat розширює підтримку гібридних хмарних сховищ в InfuzeOS Cloud Edition
13.07.2023
Falcon Insight для ChromeOS: перша в галузі нативна пропозиція XDR для ChromeOS
27.06.2023
Постреліз: CrowdStrike та Picus Security офлайн-івент для замовників
31.05.2023
Відкриваємо нові горизонти: iIT Distribution – офіційний дистриб'ютор компанії Gatewatcher
23.05.2023
Рішення для зберігання даних Infinidat окуповується за 11 місяців і забезпечує 162% рентабельності інвестицій. Завантажте звіт від IDC аби переконатися в цьому.
17.05.2023
Розширення команди професіоналів: Знайомство з новим керівником українського офісу iIT Distribution
11.05.2023
Чергова революція у галузі кібербезпеки від CrowdStrike: топ 5 важливих речей, які варто знати про керований XDR (MXDR)
09.05.2023
GTB Technologies — найкраще рішення у галузі DLP
03.04.2023
Платформа CrowdStrike Falcon виявляє та запобігає активним вторгненням, націленим на користувачів 3CXDesktopApp
24.03.2023
Labyrinth Deception Platform v2.0.51: примітки до релізу
22.03.2023
SIEM vs Системи управління логами: що потрібно знати, щоб обрати найкраще рішення
14.03.2023
CrowdStrike Falcon названо переможцем премії AV-TEST 2022 за найкращий продукт для захисту MacOS
10.03.2023
CVE-2023-21716: Пояснення експлойта віддаленого виконання коду в Microsoft Word
08.03.2023
Оновлення застосунку Threema Work: Зашифровані групові дзвінки тепер доступні на пристроях Android
03.03.2023
Звіт про глобальні загрози 2023 року від CrowdStrike: Стійкий бізнес бореться з невпинними загрозами
24.02.2023
CrowdStrike втретє поспіль посідає перше місце у звіті IDC за часткою світового ринку рішень для захисту кінцевих точок
21.02.2023
Picus Red Report 2023: Топ 10 найпоширеніших методів MITRE ATT&CK, якими користуються зловмисники
14.02.2023
Про лідерство в галузі уніфікованих систем зберігання даних високого класу: ексклюзивне інтерв'ю з Філом Буллінгером, генеральним директором Infinidat
10.02.2023
Захист PostgreSQL від кампаній криптоджекінгу в Kubernetes
26.01.2023
Що нового пропонує NAKIVO Backup & Replication v10.8: Огляд релізу
19.01.2023
Як виявити та запобігти телефонним зламам?
12.01.2023
CrowdStrike названо лідером в рейтингу Cyber Threat Intelligence 2022 за версією Frost & Sullivan
04.01.2023
Як розробити ефективну кіберстратегію в умовах зростання загроз?
22.12.2022
Новий вендор у портфелі iIT Distribution: Підписання партнерської угоди з компанією Threema
21.12.2022
Як моделювання зломів та атак полегшує взаємодію з MITRE ATT&CK
09.12.2022
Найкращі методи запобігання та захисту від DDoS-атак
21.11.2022
Як кіберзловмисники можуть обійти багатофакторну автентифікацію
08.11.2022
CrowdStrike отримала сертифікацію Red Hat OpenShift: Оптимізація видимості та автоматизація захисту для OpenShift
03.11.2022
Infinidat 5-й рік поспіль визнана лідером у рейтингу Gartner Magic Quadrant для первинних систем зберігання даних
31.10.2022
Невідкладні заходи кіберзахисту в умовах міжнародної напруженості та кібервійни
19.10.2022
Нова версія NetBrain Release 11: ключ до зниження вартості NetOps
13.10.2022
Зростання доходів від кібербезпеки: CrowdStrike планує стати великим корпоративним ІТ-гравцем
05.10.2022
CrowdStrike оголосила про придбання Reposify для зниження ризиків зовнішніх атак і посилення безпеки клієнтів
22.09.2022
Kubernetes проти Docker: у чому між ними різниця?
15.09.2022
Infinidat розширює функції NVMe/TCP для середовищ VMware
14.09.2022
Нові можливості InfiniBox від Infinidat: vVols реплікація для середовищ VMware
01.09.2022
Індикатори атак на основі штучного інтелекту дозволяють максимально швидко прогнозувати та зупиняти загрози
23.08.2022
Держспецзв’язку України попереджає про ймовірне посилення кібератак з боку російських хакерів
10.08.2022
iIT Distribution – офіційний дистриб'ютор WALLIX в Україні
01.08.2022
Казки з Dark Web: Відстеження підпільної економіки eCrime покращує ефективність кіберзахисту
20.07.2022
Розвиток ботнетів і DDoS-атак
11.07.2022
Виявлення та пом’якшення атак NTLM-ретрансляції, націлених на контролери домену Microsoft
17.06.2022
Що таке демократизація даних?
03.06.2022
Незмінні резервні копії: що вам потрібно знати, щоби захистити свої дані
19.05.2022
Українські кіберактивісти використовували скомпрометовані Docker Honeypots для антиросійських DoS-атак
06.05.2022
Що нового в Labyrinth Deception Platform: реліз 2.0.32
22.04.2022
Palo Alto Networks проінформувала про вразливості, які можуть дозволити зловмиснику відключити платформу Cortex XDR
20.04.2022
Передові anti-DDoS рішення від A10 Networks доступні для інсталяції!
15.04.2022
Inspur другий рік поспіль стає зразковим постачальником Cloud-Optimized обладнання за версією Gartner Hype Cycle
07.04.2022
Швидка доставка рішень від INFINIDAT і Inspur доступна вже зараз!
04.04.2022
Команда CrowdStrike дослідила програму-вимагач PartyTicket, націлену на українські компанії
26.03.2022
Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 3)
22.03.2022
CrowdStrike Falcon захищає від нового шкідливого ПЗ типу Wiper, що використовується в кібератаках проти України
20.03.2022
Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 2)
16.03.2022
Дослідження security-групи A10 Networks: як не стати «мимовільним спільником» російських кібератак на українські системи
23.02.2022
Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate
23.02.2022
Inspur — компанія №1 за часткою світового ринку AI-серверів!
18.02.2022
Відтепер компанія iIT Distribution – офіційний дистриб’ютор рішень Picus Security!
17.02.2022
Звіт про глобальні загрози 2022 року від CrowdStrike!
14.02.2022
iIT Distribution підписала партнерську угоду з компанією Inspur!
10.02.2022
Пост-реліз: Вебінар, присвячений оновленим можливостям Nakivo Backup & Replication v10.5
10.02.2022
Новітня розробка Falcon XDR від компанії CrowdStrike тепер доступна для користувачів!
02.02.2022
Знайомство з процесами Security Operations Center (SOC) та найкращі рекомендації для його ефективної роботи від Lepide
27.01.2022
Кібератака на українські державні сайти: що нам відомо сьогодні
21.01.2022
Технічний аналіз шкідливого завантажувача WhisperGate, націленого на українські організації
14.01.2022
CrowdStrike Services випускає Incident Response Tracker для спеціалістів DFIR (Digital Forensics and Incident Response)
12.01.2022
Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди
06.01.2022
7 IT-тенденцій 2022 року, які слід взяти на озброєння
30.12.2021
Витік секретних IP-адрес Pfizer не є рідкістю. Захистіть свої хмарні дані за допомогою проактивного шифрування
30.12.2021
6 афер, які слід уникати в ці новорічні свята: добірка рекомендацій від Panda Security
17.12.2021
Як CrowdStrike захищає клієнтів від загроз, пов'язаних з Log4Shell
16.12.2021
Що таке SCAR і якими технологіями керуються мисливці на загрози з команди Falcon OverWatch?
09.12.2021
Acra Community Edition 0.90.0: шифрування в SQL та NoSQL базах даних без додаткового програмування
08.12.2021
11 кроків до відновлення після фішингової атаки: рекомендації від Lepide
30.11.2021
Компанія Aruba (HPE) шістнадцятий рік поспіль визнається лідером у звіті Gartner Magic Quadrant for Enterprise Wired and WLAN Infrastructure 2021!
23.11.2021
Серія вебінарів від iIT Distribution & NAKIVO: твій надійний бекап!
21.11.2021
Рішення CrowdStrike Falcon отримало найвищу оцінку AAA за результатами тестування організації SE Labs
15.11.2021
Бізнес-вечеря CrowdStrike: як це було?
08.11.2021
iIT Distribution – офіційний дистриб'ютор компанії Nakivo!
05.11.2021
Компанію CrowdStrike визнали світовим лідером у галузі сучасного захисту кінцевих точок в останньому звіті IDC MarketScape!
03.11.2021
Що таке інформаційна безпека підприємства та які основні засади захисту даних існують?
02.11.2021
CrowdStrike та AWS розширюють свою інтеграцію: відтепер клієнти зможуть отримати багаторівневий захист від ransomware та складних загроз
29.10.2021
Global Threat Report 2021 від CrowdStrike вже доступний українською мовою!
25.10.2021
SDP чи VPN? (Чи обидва варіанти?)
19.10.2021
CrowdStrike представляє перший у своєму роді XDR Module, що забезпечує виявлення інцидентів у реальному часі й автоматичне реагування по всьому стеку безпеки
19.10.2021
Infinidat – лідер серед первинних систем зберігання даних згідно зі звітом Gartner Magic Quadrant 2021
18.10.2021
Компанія iIT Distribution отримала статус офіційного дистриб'ютора A10 Networks
11.10.2021
Впровадження інновації no-code в мережеві процеси
11.10.2021
iIT Distribution розширив арсенал своїх здобутків: фаховий сертифікат NetBrain Certified Platform Associate
05.10.2021
SuperMem: Безкоштовний інструмент CrowdStrike Incident Response для автоматизації обробки образів пам'яті
30.09.2021
Захід, що розширює кордони знань і можливостей: Перший Щорічний Форум з Кібербезпеки CS² DAY 2021 справив справжній фурор на гостей!
23.09.2021
На завершення знайомства з партнерами заходу CS² DAY представляємо компанію-системного інтегратора – CS Consulting!
21.09.2021
Провідний фахівець Security-підрозділу компанії IBM Віталій Воропай завітає на CS² DAY в якості спікера!
20.09.2021
Список спікерів Першого Щорічного Форуму з Кібербезпеки лише поповнюється: знайомтеся з Дмитром Петращуком від компанії IT-Specialist
20.09.2021
На CS² DAY виступлять представники державного сектору: Віктор Жора та Олександр Галущенко!
17.09.2021
Зустрічайте наступного запрошеного спікера довгоочікуваного CS² DAY – Олексія Зайончковського від компанії Netwave!
16.09.2021
Представляємо другого спікера CS² DAY: Михайло Кропива – InfoSec Director топової української IT-компанії SoftServe!
16.09.2021
Познайомтеся ближче з компанією-головним партнером CS² DAY та першим спікером заходу – Майклом Чальватцісом!
08.09.2021
iIT Distribution та CrowdStrike запрошують на CS² DAY – Перший Щорічний Форум з Кібербезпеки!
03.09.2021
Компанія iITD зібрала своїх партнерів на бізнес-вечері A10 Vendor`s Day
30.08.2021
Модель Zero Trust і система DLP: що нового розповіли наші представники та партнери на міжнародній конференції «Digital Change & Customers — Цифрові зміни та клієнтський сервіс»
05.08.2021
Запрошуємо на міжнародну конференцію «Digital Change & Customers - Цифрові зміни та клієнтський сервіс»
28.07.2021
Прийшов час спинити острах нових технологій: як змінити звичних виробників рішень і впровадити більш прогресивні технології у свою інфраструктуру?
20.07.2021
Забезпечте захист даних петабайтного масштабу з блискавичним відновленням!
12.07.2021
Infinidat — найкращий вибір клієнтів Gartner Peer Insights 2021!
06.07.2021
CrowdStrike посіла перше місце за часткою ринку Modern Endpoint Security 2020!
05.07.2021
Контролер доставки додатків А10 Thunder ADC на нашому складі!
22.06.2021
Анонс нового рішення для зберігання даних корпоративного класу InfiniBox SSA від Infinidat!
10.06.2021
Запрошуємо на третій віртуальний форум CrowdStrike!
07.06.2021
Перші поставки мережевого обладнання Aruba
01.06.2021
Комплексне DLP-рішення компанії GTB Technologies отримало сертифікат Державної служби спеціального зв’язку та захисту інформації України
31.05.2021
Як витончені атаки максимізують прибуток хакерів і до яких дій захисту необхідно вдатися негайно
19.05.2021
iIT Distribution – офіційний дистриб’ютор рішення Automox
18.05.2021
Серія навчальних воркшопів від CrowdStrike
11.05.2021
CrowdStrike вдруге стала лідером в Gartner Magic Quadrant 2021 року серед платформ захисту кінцевих точок!
11.05.2021
Огляд нової версії NetBrain Integrated Edition 10.0. Продовження
28.04.2021
Огляд нової версії NetBrain Integrated Edition 10.0
26.04.2021
Компанія Infinidat запускає програму акредитації партнерів
16.04.2021
iIT Distribution – офіційний дистриб’ютор компанії Lookout
12.04.2021
iIT Distribution розширює свій портфель мережевими рішеннями від Aruba Networks
12.04.2021
Компанія iIT Distribution отримала статус Business Partner в партнерській програмі Hewlett Packard Enterprise
08.04.2021
Чому провайдерам хостингу потрібно звернути увагу на рішення зберігання даних від Infinidat? Практичний досвід використання
05.04.2021
Модель ZTNA допомагає скоротити стресові навантаження на співробітників, які виникають внаслідок дистанційного формату роботи
30.03.2021
CrowdStrike — лідер серед сервісів виявлення загроз інформаційної безпеки, реагування на них і розслідування кіберінцидентів (MDR)!
24.03.2021
Falcon X від CrowdStrike визнаний лідер у звіті Forrester Wave: External Threat Intelligence Services за перший квартал 2021 року!
15.03.2021
Нове дослідження Forrester показує всі економічні переваги від використання Falcon Complete!
02.03.2021
iITD - офіційний партнер Міжнародного Гранд Форуму «BIT&BIS-2021»!
24.02.2021
CrowdStrike оголосив про придбання провідної високопродуктивної лог менеджмент платформи Humio!
18.02.2021
Виступ Intelligent IT Distribution на міжнародній конференції «Go Digital - 2021: прискорення & міграція.Гроші йдуть в Online».
08.02.2021
Міжнародна конференція «Go Digital - 2021: прискорення & міграція. Гроші йдуть в Online»!
25.01.2021
Відповідь CrowdStrike на нещодавні атаки Supply Chain
08.10.2020
Intelligent IT Distribution взяла участь у Третьому щорічному Міжнародному Форумі «Кібербезпека - Захистимо Бізнес, Захистимо Держава»
29.09.2020
iITD - партнер форуму “Кібербезпека - захистимо бізнес, захистимо державу” 2020
24.09.2020
Компанія IIT Distribution отримала статус дистриб’ютора рішень NetBrain Technologies на території України
28.08.2020
Fal.Con 2020 від CrowdStrike
25.08.2020
Дотримання норм страхування кіберризиків
25.08.2020
Автоматично блокуйте скомпрометовані облікові записи з Lepide Active Directory Self Service 20.1
25.08.2020
Компанія Cossack Labs запрошує відвідати NoNameCon
22.07.2020
Підписання дистриб’юторської угоди з компанією Safe-T
21.07.2020
Міжнародна конференція: "Online Banking - Час інновацій!"
18.06.2020
Глобальний звіт про кіберзагрози 2020
11.06.2020
Четвер, 25 червня 2020 року. Не пропустіть!
20.05.2020
Звіт PandaLabs: Розуміння загроз 2020
05.05.2020
Анонс: нова версія Acra Enterprise забезпечує підвищену гнучкість для високонавантажених систем
13.04.2020
Lepide Remote Worker Monitoring Pack - легка платформа безпеки, яка гарантує негайний захист даних бізнесу протягом непередбаченого періоду віддаленої роботи.
12.04.2020
Забезпечення кібербезпеки для віддалених користувачів
08.04.2020
Labyrinth Technologies пропонує скористатися спеціальною пропозицією - ліцензія на 12 місяців за ціною 6 місяців.
07.04.2020
«CrowdStrike: дистанційна робота та ІТ-безпеку за часів кризи - скорочена ліцензійна програма на 3-6 місяців».
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень RedSeal Networks на території України.
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Lepide на території України.
16.03.2020
Компанія iIT Distribution починає дистрибуцію рішень CrowdStrike на території України.
Проведення аналізу пам'яті під час розслідування інцидентів може бути виснажливою та складною справою через відсутність комерційних варіантів обробки зразків пам'яті, універсальних інструментів з відкритим вихідним кодом для виконання зазначеної функції, а також брак знань і навичок. Усвідомлюючи це, компанія CrowdStrike створила SuperMem – скрипт обробки пам'яті Windows з відкритим вихідним кодом, який допомагає експертам послідовно і швидко обробляти зразки пам'яті під час розслідувань.
SuperMem можна знайти в репозиторії CrowdStrike GitHub тут.
Що таке SuperMem?
SuperMem, або "winSuperMem.py", – це сценарій Python, який послідовно, швидко і вибірково аналізує зразки пам'яті Windows. В його основі лежить методологія сортування, яка робить інструмент простим у використанні, а отже більш доступним для криміналістичних аналітиків. Методологія сортування складається з трьох типів: Швидкий, Повний і Комплексний.
- Швидкий: дуже обмежена обробка.
- Повний: більш глибока обробка.
- Комплексний: всеосяжна обробка!
Примітка: winSuperMem.py був розроблений в середовищі Linux і не тестувався для роботи на Windows. Проте конфігурація скрипту для запуску на системі Windows цілком можлива.
Чому CrowdStrike створили це?
Надихнувшись vShot, CrowdStrike написали SuperMem для підтримки криміналістичних спільнот. Цей скрипт надає допомогу в розборі зразків пам'яті Windows під час розслідування інциденту.
На що орієнтувалися розробники в процесі створення SuperMem?
- Простота використання водночас зі збереженням функціональності. SuperMem був створений з мінімальною кількістю перемикачів командного рядка заради забезпечення простоти в експлуатації, але при цьому зі збереженням високої продуктивності. Після задоволення всіх вимог скрипту, ви можете запустити SuperMem за допомогою всього трьох командних перемикачів.
- Аналітична доступність. SuperMem виводить дані в доступних форматах, таких як CSV і body file. Крім того, структура виведення зберігається в окремих каталогах відповідно до функції обробки.
- Можливість розширення. У міру змін і виявлення нових артефактів, судовим аналітикам потрібен спосіб легко оновлювати свої інструменти відповідно до цього. SuperMem написаний в модульній структурі, у яку можна додавати додаткові функції обробки інструментів. Щоб здійснити це, вам потрібно просто створити і додати цю функцію до бажаного типу сортування. SuperMem також має високу конфігурованість, оскільки написаний на Python3 і структурований так, щоб забезпечити максимальні можливості для налаштування.
- Швидкість і оновлення відомостей про хід роботи. Розробники SuperMem, будучи судовими аналітиками, хочуть, щоб інструменти CrowdStrike забезпечували оновлення відомостей про прогрес роботи і були максимально ефективними, що дозволить вам раціонально використовувати свій час. По можливості, SuperMem оновлює інформацію про хід обробки та передбачуваний час завершення кожного стеку обробки. Крім того, цей інструмент є багатопотоковим, що підвищує швидкість його роботи, причому кількість потоків може бути змінена в залежності від специфікацій вашої системи.
На що здатен SuperMem?
Наразі SuperMem складається з одного сценарію Python – "winSuperMem.py", призначеного для обробки образів пам'яті Windows. Запустивши SuperMem із зазначеним типом сортування (Швидкий, Повний або Комплексний), сценарій обробить зразок пам'яті декількома способами.
Поточні функції обробки, які включає SuperMem:
Volatility 3. У залежності від обраного типу сортування, SuperMem буде запускати відібрані плагіни Volatility 3. Volatility 3 був обраний для SuperMem через його швидкість і формат виведення. Крім того, кожен плагін може бути налаштований з унікальними параметрами.
Bulk Extractor. Кожен тип сортування буде запускати Bulk Extractor на образі пам'яті з параметрами за замовчуванням.
Рядки. Кожен тип сортування буде запускати на образі пам'яті рядки Unicode, ASCII і Big-Endian. EVTXtract. Залежно від обраного типу сортування SuperMem запустить EVTXtract з параметрами за замовчуванням.
Отримання файлів. Залежно від обраного типу сортування SuperMem отримує такі файли, як завантажені бібліотеки DLL, драйвери, процеси, гілки реєстру та інші певні типи файлів і їх шляхи.
Збір IOCs. Залежно від обраного типу сортування SuperMem спробує зібрати неприватні IP-адреси з результатів Volatility 3 NetScan і додати їх у файл IOC.csv.
Plaso. Залежно від обраного типу сортування, SuperMem запустить log2timeline по всьому каталогу виведення, розбираючи файли дампу і висновок Volatility. Потім SuperMem запустить psort на виході і створить суперчасову шкалу активності.
Yara. Тільки для комплексної діагностики. SuperMem запустить Yara на основі наданого файлу Yara по всім скинутим драйверам, процесам і бібліотекам DLL. Сьогодні сканування Yara по всьому образу пам'яті не є інтегрованим, оскільки це може забрати дуже багато часу і потенційно генерувати багато шуму.
Примітка: Метою SuperMem є використання тільки Volatility 3, але, на жаль, наразі достатньої підтримки плагінів немає, а отже він все ще перебуває на стадії розробки, тому Volatility 2 досі є необхідним.
Функції обробки для кожного типу сортування
Швидкий:
- Volatility 3
- Рядки (strings)
- Bulk Extractor
Повний:
- Швидке сортування
- Volatility 3 +
- Volatility 2
- EVTXtract
- Файли dump (тільки задані файли та шляхи)
- Dump Registry Hives
- Plaso
- Збір мережевих IOCs
Комплексний:
- Повне сортування
- Скидання завантажених DLL, процесів і драйверів Yara
Докладний список кожного плагіну Volatility, використовуваного в режимах Quick triage, Full triage і Comprehensive triage, наведено в Python-скрипті "winSuperMem.py".
Як ви можете користуватися цим інструментом?
Установка. SuperMem має кілька залежних компонентів, оскільки для обробки зразка пам'яті використовується кілька криміналістичних інструментів. Спочатку вам буде необхідно встановити або мати такі інструменти:
- Python 3 для запуску скрипту та Volatility 3
- Python 2 для запуску Volatility 2
- Рядки (strings)
- Volatility 3
- Volatility 2 з community-плагінами
- Bulk Extractor
- Plaso/Log2Timeline
- Yara
SuperMem має кілька залежних компонентів Python, які можна встановити за допомогою наступної команди:
pip3 install -r requirements.txt
Після установки всіх необхідних інструментів і залежностей вам потрібно буде оновити глобальні змінні у верхній частині сценарію Python, щоб вони вказували на шлях установки інструментів.
# Globals Likely Needing Updated
THREADCOUNT = 12
EVTXTRACTPATH = "/usr/local/bin/evtxtract"
VOL3PATH = "/usr/bin/vol3"
VOL2PATH = "/usr/bin/vol.py"
VOL2EXTRAPLUGINS = "/usr/share/volatility/plugins/community/"
BULKPATH = "/usr/bin/bulk_extractor"
LOG2TIMELINEPATH = "/usr/bin/log2timeline.py"
PSORTPATH = "/usr/bin/psort.py"
YARAPATH = "/usr/bin/yara"
STRINGSPATH = "/bin/strings"
YARARULESFILE = "/path/to/yara/Yarafile.txt"
Запуск
Після налаштування сценарію із зазначенням шляхів до інструментів, ви можете запустити SuperMem за допомогою наступної наведеної нижче команди:
python3 winSuperMem.py -f memdump.mem -o output -tt 3
Ця команда виконає комплексну обробку зразка пам'яті "memdump.mem" і виведе в каталог "output". Крім того, ви можете опціонально поставити перемикач команди -profile = для прискорення обробки плагінів Volatility 2, якщо вам відомий їх профіль.
Після завершення виконання сценарію у вас буде вихідний каталог для кожної з унікальних функцій обробки.
Як зчитувати вихідні дані?
Нижче наведена структура вихідного каталогу комплексного сортування:
- BEoutputdir: вихідний файл Bulk Extractor
- DumpedDllsOutput: дамповані DLL, завантажені в процеси
- DumpedFilesOutput: дамповані файли в пам'яті
- DumpedModules: вивантаження завантажених драйверів
- DumpedProcessOutput: вивантаження запущених процесів
- DumpedRegistry: вивантаження завантажених гілок реєстру
- EVTxtract: вивантаження даних за допомогою EVTxtract
- IOCs.csv: зібрані IP-адреси, ідентифіковані в наборі вихідних даних
- Logging.log: журнал для сценарію
- Plaso: основна тимчасова шкала Plaso
- Рядки: виведення рядків Unicode, Ascii, Big Endian
- Volatility 2: виведення плагіну Volatility 2
- Volatility3: виведення плагіну Volatility 3
- Yara: відповідності Yara
Висновок
За допомогою SuperMem аналіз пам'яті Windows, особливо під час розслідування інцидентів, може бути послідовним і впорядкованим. Крім того, завдяки можливості вибору типів сортування, аналітики можуть зупинитися на варіанті, який найкраще підходить для їх потреб в розслідуванні, щоб скоротити час обробки.
Дізнайтеся більше про те, як служби CrowdStrike допомагають організаціям швидко і ефективно підготуватися до злому, відреагувати на нього і усунути наслідки, а також про інші рішення, які допоможуть вашій команді безпеки.
Нагадуємо, що компанія iIT Distribution – постачальник новітніх рішень та інструментів, що дозволяють корпоративним клієнтам використовувати передові технології в галузі побудови та обслуговування IT-інфраструктури та забезпечення кібербезпеки. Наші фахівці проведуть попередню експертизу проєкту та оцінять наявність умов для його реалізації на підприємстві.
Назад