分析:下一代的取证– Infocyte

花了几个月从疾病(不是Corona),我’有足够的时间来查看这种不寻常的产品的最新版本。我在我的实验室和客户网站上使用了几年内使用了InfoGyte。虽然它所做的不是新的–还有其他工具从大乐透走势图500期图上收集来自各个设备的法医数据,因此没有作为本领域的全面,准确或不引人注目的工具。它侧重于文件,所以它可能被认为是一个非常高级的antimalware工具,但它真的比这更为多。

我已经在其他地方的安全领域中解释了人工智能的各个方面,但是为了分析这里的InfoGyte我们再次进入–这次比较简单。为了我们的目的,我专注于AI的关键方面:机器学习(ML)。有三种主要类型我们所关注的主要类型:监督,无监督和加强学习。数据科学家描述了至少11种类型的类型,其中是转换学习,其描述了相对较好的信息在内型ML发动机。

当ML算法使用现有数据集作为其培训集时,发生监督学习。当算法没有预先存在的数据集但必须根据其学习算法的模型和应用程序创建自己的观察时,发生无监督的学习。强化学习不会以训练集开头。它必须像无监督的学习一样得出自己的自我,但在加强学习的情况下,系统必须学习如何处理数据。转导学习很像监督学习,但取决于用于预测结果的统计算法给出统计算法和从中工作的大量示例。您将看到这种影响如何影响InfoCyte。

我们的最后一块背景知识来自定义机器学习的核心公式。你会看到它很简单。然而,有一个方面使得这方面是明显的简单性的欺骗性。公式是:

y = f(x)

…在哪里 Y 是我们正在寻求的依赖变量, X 是我们给予的独立变量 f 是一个平衡方程的功能。有时我们无法轻松平衡方程式,因此我们可以添加错误(e):

Y = F(x)+ e

平衡等式。

这是我们在高中代数早期学到的简单方程。重点是我们既不知道 Y 也不 fY 总是将成为等式的结果 f 当然会改变为 X changes.  X 在我们的示例中将来自InfoCyte的收集数据和 f 将是由InfoCyte开发的算法。在大多数情况下,这些算法是统计学,主要是贝叶斯。贝父’定理是预测的,这是基于过去的观察来预测未来结果。现在,对InfoGyte。

InfoGyte在其核心,是一款过度大乐透走势图500期图设备取证工具。它在各种设备上使用代理来收集和报告法医数据。这些药剂可以由管理员永久地放置,或者可以在分析时生成。使用后,这些药剂是自我溶解的。在任何一种情况下,它们都非常轻,并且不会干扰大乐透走势图500期图的效率或正在测试的设备。在其最新的化身中,它不仅报告,而且可以根据测试频率在近实时提醒。

InfoGyte允许管理员基于企业的组织构建域,然后单独测试这些域。这允许一次交错测试,一个或多个域一次,减少对非常大,分布式企业的任何可能影响。 infogyte.’S分析分为两组:威胁,漏洞和风险。这些在仪表板上整齐地总结。见图1。

图1– Infocyte Dashboard

有一个有组织的顶层下拉菜单,解决了警报,发现,分析和报告。每一个都带您到一个新部分。我们从一开始就开始:发现。我在域名上设置了一个简单的四个设备大乐透走势图500期图,CDFS-Honey。这是我的HoneyNet,我有限有效的设备以简便。有四个主机:DEB,MaeConsole(1),Drstephenson-PC和DC01Centerd1.local。其中,两个是可访问的,两个不是在最后一个发现扫描中。见图2。

图2–CDFS-蜂蜜的Infogyte发现扫描

我们的第二站是逻辑上的,分析。在运行A分析到我们的目标群体我们的GE结果非常全面。见图3。

图3.–分析CDFS-HONEY的结果

正如您在这里看到有很多信息。一些更重要的是自动启动,连接,内存和进程。这些是任何法医分析师都会感兴趣的事情。大学教师’当然,T休息。钻井我们可以获得更多细节。我们’LL深入到主机DC01.CenterD1.local。 DC01是域控制器。见图4。

图4.–dc01.centerd1.local的连接

这里显示了两种类型的连接。第一个是3.229.46.33:443.这是连接信息细胞。第二个是所有零。这是一个内部连接。您可以检查这些连接以确定其对整个设备的法医检查的重要性和相关性。让’S若需一个仔细查看DC01.Centerd1.local,这次运行进程。见图5。

图5.–dc01.Centerd1.local运行进程

请注意,这些是在信息细胞时运行的进程’■设备的快照。我们看到武器vc.exe被标记为“suspicious”。我们可以在该文件上深入钻取,并查看发现的信息细胞。见图6。

图6.–跑步进程的细节armsvc.exe

这里有很多有用的信息来帮助回答问题,“这个文件是恶意吗?”。从左上角开始,有一个过程得分为2.我们会看到它确实有一个签名,但(钻取到得分细节),这是基于其行为被视为可疑的。威胁情报意见其他方案–通常是antimalware程序–查看文件。只有一个,webroot(查看全部)认为它是恶意的。

Synape评分是基于InfoCyte分析的特征和特性的恶意或风险程度,它范围从低于-1(坏)到高于+1(好)。 Synapse在这里是1.31,可能是好的。熵–Infogyte的重要部分’s analysis –是6.415。任何高于7.2的熵分数都表示文件可能使用加密器或包装器。这是一个非常肯定的恶意软件指示。分数范围为0到8。

图7.–DC01.Centerd1.local的部分轨迹

有很多信息,即法医分析师需求,此信息对提取非常繁琐。在客户网站上,我有几年的经验在客户上进行手动取证’S服务器。平均而言,拍摄服务器的日期,几天时间才能分析–单个服务器。我在同一大乐透走势图500期图中运行了InfoGyte,发现了一些需要注意的事情,并在八小时内完成整个大乐透走势图500期图(约700个服务器和400个端点),包括大约一个小时进行分析结果。我看到了我无法看到的事情,而不会对可能繁琐和冗长的设备执行内存取证。如果没有其他原因–并且有很多–InfoGyte的效率使其值得拥有。如果您添加可用的细节,则由于其机器学习,它的易用性和对设备和大乐透走势图500期图的影响最小,因此您拥有众多的分析功能,您将拥有超过大乐透走势图500期图的领导者。

观点

如您所见,使用InfoCyte有很多东西可以了解设备。使用了使用的InfoGyte以及其他类似的生产工具,我可以相信该infocyte是无疑是最好的。基于贝叶斯的机器学习的应用,方便的用户界面布局和综合分析(在报告中复制,您可以通过主机或漏洞产生您想要的功能受众,以便通过威胁或漏洞)使其成为第一个-rate工具。如果我们添加漏洞和唯一的活动分析,则显示逐步步骤的任何特定主机的活动行为(我最喜欢的功能之一–见图7)我们有我认为最终(现在,无论如何,–显然,Infobyte在工程中有改进和升级)过大乐透走势图500期图设备取证工具。

强烈建议使用Infogyte。

 

P. R. Stephenson,PHD,CISSP(RET)
未来激烈的出版商
独家在大乐透走势图500期图防御杂志上

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请