columbo——EDR上进程注入可以使用,依赖Volatility3 内存提取,无文件攻击典型场景

EDR上进程注入可以使用。Volatility3 内存提取。--无文件攻击典型场景

项目地址:https://github.com/visma-prodsec/columbo

 

哥伦布和机器学习

Columbo 使用数据预处理来组织数据和机器学习模型以识别可疑行为。它的输出要么是 1(可疑)要么是 0(真实)——以一种建议的形式,纯粹是为了帮助数字取证审查员做出决策。我们用不同的例子训练模型以最大限度地提高准确性,并使用不同的方法来最大限度地减少误报。但是,仍然会出现误报(错误检测),因此我们致力于定期更新模型。   

 

自动或手动内存图像分析

手动内存图像分析

内存取证。在该选项中,Columbo 采用内存映像的路径,并生成以下选项供用户选择。

  1. 内存信息: Volatility 3 用于提取有关图像的信息。
  2. Processes Scan: Volatility 3用于提取进程、dll和处理每个进程的信息。然后,Columbo 使用分组和集群机制将每个进程根据它们的母进程进行分组。此选项稍后由异常检测选项下的过程可追溯性使用。
  3. 进程树: Volatility 3 用于提取进程的进程树。
  4. 异常检测和过程可追溯性: Volatility 3 用于提取异常检测过程的列表。但是,Columbo 提供了一个名为 Process Traceability 的选项,用于分别检查每个流程并共同生成以下信息。
  • 可执行文件和相关命令的路径。
  • 使用机器学习模型来确定已识别过程的合法性。
  • 将每个进程一直追溯到其根进程(完整路径)及其执行日期和时间。
  • 确定该进程是否负责执行其他进程,即它是否将成为新进程的母进程。
  • 它提取、处理和 dll 的每个进程的信息,并将其余信息呈现给它们。 

自动内存图像分析

以上所有,但以自动化方式。

posted @ 2022-06-22 16:48  bonelee  阅读(113)  评论(0编辑  收藏  举报