EDR上进程注入可以使用。Volatility3 内存提取。--无文件攻击典型场景
项目地址:https://github.com/visma-prodsec/columbo
哥伦布和机器学习
Columbo 使用数据预处理来组织数据和机器学习模型以识别可疑行为。它的输出要么是 1(可疑)要么是 0(真实)——以一种建议的形式,纯粹是为了帮助数字取证审查员做出决策。我们用不同的例子训练模型以最大限度地提高准确性,并使用不同的方法来最大限度地减少误报。但是,仍然会出现误报(错误检测),因此我们致力于定期更新模型。
自动或手动内存图像分析
手动内存图像分析
内存取证。在该选项中,Columbo 采用内存映像的路径,并生成以下选项供用户选择。
- 内存信息: Volatility 3 用于提取有关图像的信息。
- Processes Scan: Volatility 3用于提取进程、dll和处理每个进程的信息。然后,Columbo 使用分组和集群机制将每个进程根据它们的母进程进行分组。此选项稍后由异常检测选项下的过程可追溯性使用。
- 进程树: Volatility 3 用于提取进程的进程树。
- 异常检测和过程可追溯性: Volatility 3 用于提取异常检测过程的列表。但是,Columbo 提供了一个名为 Process Traceability 的选项,用于分别检查每个流程并共同生成以下信息。
- 可执行文件和相关命令的路径。
- 使用机器学习模型来确定已识别过程的合法性。
- 将每个进程一直追溯到其根进程(完整路径)及其执行日期和时间。
- 确定该进程是否负责执行其他进程,即它是否将成为新进程的母进程。
- 它提取、处理和 dll 的每个进程的信息,并将其余信息呈现给它们。
自动内存图像分析
以上所有,但以自动化方式。