如何使用Columbo識別受攻擊數據庫中的特定模式
責編:gltian |2021-04-28 13:32:48
關于Columbo
Columbo是一款計算機信息取證與安全分析工具,可以幫助廣大研究人員識別受攻擊數據庫中的特定模式。該工具可以將數據拆分成很小的數據區塊,并使用模式識別和機器學習模型來識別攻擊者的入侵行為以及在受感染Windows平臺中的感染位置,然后給出建議表格。需要注意的是,當前版本的Columbo僅支持在Windows操作系統平臺上執行任務。
依賴組件&高級架構
Columbo依賴于volatility 3、autorunsc.exe和sigcheck.exe實現其數據提取功能。因此,廣大用戶在使用Columbo之前必須下載這些依賴工具,并將它們存放在\Columbo\bin目錄下。這些工具所生成的輸出數據將會通過管道自動傳輸到Columbo的主引擎中。接下來,Columbo會將傳入的數據進行拆分,并對其進行預處理,然后使用機器學習模型對受感染系統的路徑位置、可執行文件和其他攻擊行為進行分類。
視頻資料
1、在你開始使用Columbo之前,請先觀看【https://www.youtube.com/watch?v=7rUCC1Wz4Gc】。
2、使用【Columbo Memory-forensics】(https://www.youtube.com/watch?v=fOa62iVemAQ)進行內存取證分析。
工具安裝與配置
1、下載并安裝Python 3.7或3.8(未測試3.9),確保你已經在安裝過程中將python.exe添加到了PATH環境變量中。
2、訪問項目的【https://github.com/visma-prodsec/columbo/releases】下載最新的Columbo源碼。
3、下載下列組件,然后將它們存儲至\Columbo\bin中:Volatility 3源碼、autorunsc.exe和sigcheck.exe。
為了避免報錯,目錄結構必須為\Columbo\bin\volatility3-master、\Columbo\bin\autorunsc.exe 和\Columbo\bin\sigcheck.exe。
4、最后,雙擊\Columbo目錄中的“exe”即可啟動Columbo。
Columbo與機器學習
Columbo使用數據預處理技術來組織數據和機器學習模型來識別可疑行為。它的輸出要么是1(可疑的),要么是0(正常的),它會以一種建議的形式幫助網絡安全與計算機取證人員進行決策分析。我們使用了不同的測試用例來訓練該模型,并以最大限度提升了輸出數據的準確性,以及減少誤報的出現。但是,工具輸出的假陽性依然會存在,因此我們目前仍在定期更新模型。
假陽性
減少誤報其實并不容易,尤其是涉及到機器學習的時候。機器學習模型產生的輸出假陽性高或低,這取決于用于訓練模型的數據的質量。但是,為了協助網絡安全與計算機取證人員進行調查,Columbo會為其輸出提供相應的準確百分比系數(1-可疑的,0-正常的),這種方法有助于研究人員選擇需要進行分析的可疑路徑、命令或進程。
操作選項
實時分析-文件和進程跟蹤
此選項將分析正在運行的Windows進程以識別正在運行的惡意活動(如果有的話)。Columbo會使用autorunsc.exe從目標設備中提取數據,并輸出通過管道傳輸到機器學習模型和模式識別引擎,對可疑活動進行分類。接下來,輸出將以Excel文件的形式保存在\Columbo\ML\Step-2-results下,以供進一步分析。此外,Columbo還為用戶提供了檢查正在運行進程的選項。結果將包含諸如進程跟蹤、與每個進程相關聯的命令(如果適用)以及進程是否負責執行新進程等信息。
掃描和分析硬盤鏡像文件(.vhdx)
該選項可以獲取已掛載的Windows硬盤鏡像路徑,它將使用sigcheck.exe從目標文件系統中提取數據。然后將結果導入機器學習模型,對可疑活動進行分類。輸出將以Excel文件的形式保存在\Columbo\ML\Step-3-results下。
內存信息取證
使用該選項時,Columbo會選擇內存鏡像的路徑,并生成以下選項供用戶選擇。
內存信息:使用Volatility 3提取關于鏡像的信息。
進程掃描:使用Volatility 3提取進程和每個進程給相關的DLL以及處理信息。接下來,Columbo會使用分組和聚類機制,根據每個進程的上級進程對它們進行分組。此選項稍后會由異常檢測下的進程跟蹤選項使用。
進程樹:使用Volatility 3提取進程的進程樹。
異常檢測和進程跟蹤:使用Volatility 3提取異常檢測進程的列表。但是,Columbo提供了一個名為“進程跟蹤”的選項來分別檢查每個進程,并生成以下信息:可執行文件和相關命令的路徑、利用機器學習模型確定所識別進程的合法性、將每個進程一直追溯到其根進程(完整路徑)及其執行日期和時間、確定進程是否負責執行其他進程、收集整理每個進程的上述信息并提供給用戶。
項目地址
Columbo:https://github.com/visma-prodsec/columbo
許可證協議
本項目的開發與發布遵循MIT開源許可證協議。
來源:FreeBuf.COM