怎么用Columbo識別受攻擊數據庫中的特定模式
發(fā)布時(shí)間:2021-09-14 11:25
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
本篇內容主要講解“怎么用Columbo識別受攻擊數據庫中的特定模式”�,感興趣的朋友不妨來(lái)看看����。本文介紹的方法操作簡(jiǎn)單快捷�����,實(shí)用性強��。下面就讓小編來(lái)帶大家學(xué)習“怎么用Columbo識別受攻擊數據庫中的特定模式”吧!
關(guān)于Columbo
Columbo是一款計算機信息取證與安全分析工具��,可以幫助廣大研究人員識別受攻擊數據庫中的特定模式�����。該工具可以將數據拆分成很小的數據區塊�,并使用模式識別和機器學(xué)習模型來(lái)識別攻擊者的入侵行為以及在受感染W(wǎng)indows平臺中的感染位置���,然后給出建議表格���。需要注意的是�����,當前版本的Columbo僅支持在Windows操作系統平臺上執行任務(wù)�。
依賴(lài)組件&高級架構
Columbo依賴(lài)于volatility 3�、autorunsc.exe和sigcheck.exe實(shí)現其數據提取功能�。因此����,廣大用戶(hù)在使用Columbo之前必須下載這些依賴(lài)工具���,并將它們存放在\Columbo\bin目錄下�。這些工具所生成的輸出數據將會(huì )通過(guò)管道自動(dòng)傳輸到Columbo的主引擎中���。接下來(lái)����,Columbo會(huì )將傳入的數據進(jìn)行拆分��,并對其進(jìn)行預處理�����,然后使用機器學(xué)習模型對受感染系統的路徑位置�、可執行文件和其他攻擊行為進(jìn)行分類(lèi)��。
視頻資料
1����、在你開(kāi)始使用Columbo之前�,請先觀(guān)看【https://www.youtube.com/watch?v=7rUCC1Wz4Gc】�����。
2�、使用【Columbo Memory-forensics】(https://www.youtube.com/watch?v=fOa62iVemAQ)進(jìn)行內存取證分析�����。
工具安裝與配置
1���、下載并安裝Python 3.7或3.8(未測試3.9)����,確保你已經(jīng)在安裝過(guò)程中將python.exe添加到了PATH環(huán)境變量中�。
2��、訪(fǎng)問(wèn)項目的【https://github.com/visma-prodsec/columbo/releases】下載最新的Columbo源碼�。
3��、下載下列組件�,然后將它們存儲至\Columbo\bin中:Volatility 3源碼����、autorunsc.exe和sigcheck.exe��。
為了避免報錯�����,目錄結構必須為\Columbo\bin\volatility3-master�、\Columbo\bin\autorunsc.exe 和\Columbo\bin\sigcheck.exe�����。
4���、最后���,雙擊\Columbo目錄中的“exe”即可啟動(dòng)Columbo�����。
Columbo與機器學(xué)習
Columbo使用數據預處理技術(shù)來(lái)組織數據和機器學(xué)習模型來(lái)識別可疑行為����。它的輸出要么是1(可疑的)�,要么是0(正常的)�����,它會(huì )以一種建議的形式幫助網(wǎng)絡(luò )安全與計算機取證人員進(jìn)行決策分析����。我們使用了不同的測試用例來(lái)訓練該模型�,并以最大限度提升了輸出數據的準確性�,以及減少誤報的出現�����。但是�,工具輸出的假陽(yáng)性依然會(huì )存在���,因此我們目前仍在定期更新模型�。
假陽(yáng)性
減少誤報其實(shí)并不容易��,尤其是涉及到機器學(xué)習的時(shí)候���。機器學(xué)習模型產(chǎn)生的輸出假陽(yáng)性高或低�����,這取決于用于訓練模型的數據的質(zhì)量����。但是���,為了協(xié)助網(wǎng)絡(luò )安全與計算機取證人員進(jìn)行調查����,Columbo會(huì )為其輸出提供相應的準確百分比系數(1-可疑的��,0-正常的)��,這種方法有助于研究人員選擇需要進(jìn)行分析的可疑路徑���、命令或進(jìn)程����。
操作選項
實(shí)時(shí)分析-文件和進(jìn)程跟蹤
此選項將分析正在運行的Windows進(jìn)程以識別正在運行的惡意活動(dòng)(如果有的話(huà))���。Columbo會(huì )使用autorunsc.exe從目標設備中提取數據���,并輸出通過(guò)管道傳輸到機器學(xué)習模型和模式識別引擎��,對可疑活動(dòng)進(jìn)行分類(lèi)���。接下來(lái)�����,輸出將以Excel文件的形式保存在\Columbo\ML\Step-2-results下��,以供進(jìn)一步分析�����。此外�����,Columbo還為用戶(hù)提供了檢查正在運行進(jìn)程的選項����。結果將包含諸如進(jìn)程跟蹤�����、與每個(gè)進(jìn)程相關(guān)聯(lián)的命令(如果適用)以及進(jìn)程是否負責執行新進(jìn)程等信息���。
掃描和分析硬盤(pán)鏡像文件(.vhdx)
該選項可以獲取已掛載的Windows硬盤(pán)鏡像路徑����,它將使用sigcheck.exe從目標文件系統中提取數據��。然后將結果導入機器學(xué)習模型��,對可疑活動(dòng)進(jìn)行分類(lèi)��。輸出將以Excel文件的形式保存在\Columbo\ML\Step-3-results下�。
內存信息取證
使用該選項時(shí)�,Columbo會(huì )選擇內存鏡像的路徑�,并生成以下選項供用戶(hù)選擇�����。
內存信息:使用Volatility 3提取關(guān)于鏡像的信息�����。
進(jìn)程掃描:使用Volatility 3提取進(jìn)程和每個(gè)進(jìn)程給相關(guān)的DLL以及處理信息���。接下來(lái)����,Columbo會(huì )使用分組和聚類(lèi)機制�����,根據每個(gè)進(jìn)程的上級進(jìn)程對它們進(jìn)行分組�。此選項稍后會(huì )由異常檢測下的進(jìn)程跟蹤選項使用��。
進(jìn)程樹(shù):使用Volatility 3提取進(jìn)程的進(jìn)程樹(shù)�����。
異常檢測和進(jìn)程跟蹤:使用Volatility 3提取異常檢測進(jìn)程的列表���。但是�,Columbo提供了一個(gè)名為“進(jìn)程跟蹤”的選項來(lái)分別檢查每個(gè)進(jìn)程����,并生成以下信息:可執行文件和相關(guān)命令的路徑��、利用機器學(xué)習模型確定所識別進(jìn)程的合法性��、將每個(gè)進(jìn)程一直追溯到其根進(jìn)程(完整路徑)及其執行日期和時(shí)間����、確定進(jìn)程是否負責執行其他進(jìn)程����、收集整理每個(gè)進(jìn)程的上述信息并提供給用戶(hù)���。
項目地址
Columbo:https://github.com/visma-prodsec/columbo
