भूमि चालकों से दूर रहना

May 08 2023
आज, हम लिविंग ऑफ द लैंड ड्राइवर्स प्रोजेक्ट की रिलीज की घोषणा करते हुए उत्साहित हैं। इस परियोजना का उद्देश्य एक ही स्थान पर अधिक से अधिक कमजोर और दुर्भावनापूर्ण ड्राइवरों को समेकित करना है, जिससे यह सभी के लिए खोजने और सीखने के लिए सुलभ हो सके।

आज, हम लिविंग ऑफ द लैंड ड्राइवर्स प्रोजेक्ट की रिलीज की घोषणा करते हुए उत्साहित हैं। इस परियोजना का उद्देश्य एक ही स्थान पर अधिक से अधिक कमजोर और दुर्भावनापूर्ण ड्राइवरों को समेकित करना है, जिससे यह सभी के लिए खोजने और सीखने के लिए सुलभ हो सके। यह अमूल्य संसाधन संगठनों को ड्राइवर से संबंधित सुरक्षा जोखिमों को बेहतर ढंग से समझने और कम करने में सक्षम बनाता है। ड्राइवर कंप्यूटर के संचालन का एक अभिन्न अंग हैं, और भेद्यता या दुर्भावनापूर्ण ड्राइवर महत्वपूर्ण सुरक्षा जोखिम पैदा कर सकते हैं। ड्राइवरों की निगरानी आपको संभावित खतरों का जल्द पता लगाने में सक्षम बनाती है, जिससे आप कमजोरियों को दूर करने के लिए त्वरित कार्रवाई कर सकते हैं, दुर्भावनापूर्ण ड्राइवरों को हटा सकते हैं और शोषण के जोखिम को कम कर सकते हैं।

इस विषय पर अतिरिक्त पृष्ठभूमि मेरे SANS DFIR समिट टॉक में मिल सकती है, जिसका शीर्षक हंटिंग विंडोज यू-बोट्स विद साइबर डेप्थ चार्ज है ।

पेश है - LOLDrivers.io

साइट

loldrivers.io

Lolddrivers.io पर जाने से आपको नीचे दी गई तालिका में लैंडिंग पृष्ठ और ड्राइवरों पर फ़िल्टर करने की क्षमता दिखाई देगी या आप शीर्ष दाईं ओर खोज सकते हैं।

फ़िल्टर
खोज

इसके अलावा, आपके पास CSV , JSON , Sysmon कॉन्फ़िगरेशन फ़ाइल और सिग्मा नियम को हथियाने की क्षमता है ।

यह महत्वपूर्ण क्यों है?

लिविंग ऑफ द लैंड ड्राइवर्स (एलओएलड्राइवर्स) परियोजना कई कारणों से साइबर सुरक्षा और सिस्टम स्थिरता की दुनिया में एक गेम-चेंजर है:

  1. केंद्रीकृत संसाधन: एलओएल ड्राइवर्स एक सुविधाजनक स्थान पर कमजोर और दुर्भावनापूर्ण ड्राइवरों को एक साथ लाता है, जिससे सुरक्षा पेशेवरों, शोधकर्ताओं और संगठनों के लिए ड्राइवर से संबंधित खतरों की पहचान करना और सीखना पहले से कहीं ज्यादा आसान हो जाता है।
  2. बढ़ी हुई जागरूकता: यह परियोजना चालक से संबंधित सुरक्षा जोखिमों के महत्व पर प्रकाश डालती है, संगठनों को अपने सिस्टम में संभावित कमजोरियों की निगरानी और उन्हें दूर करने के लिए सक्रिय होने की आवश्यकता पर जोर देती है।
  3. जोखिम न्यूनीकरण: एलओएल ड्राइवर्स संगठनों को ड्राइवर भेद्यताओं और दुर्भावनापूर्ण ड्राइवरों में मूल्यवान अंतर्दृष्टि से लैस करते हैं, जिससे वे उन जोखिमों को समझने में सक्षम होते हैं जिनका वे सामना करते हैं और उन्हें कम करने के लिए प्रभावी उपायों को लागू करते हैं, अंततः खतरे के अभिनेताओं द्वारा सफल शोषण की संभावना को कम करते हैं।
  4. बेहतर सुरक्षा मुद्रा: एलओएल ड्राइवर्स द्वारा प्रदान किए गए ज्ञान के साथ, संगठन ड्राइवर से संबंधित जोखिमों को सक्रिय रूप से संबोधित करके अपनी समग्र साइबर सुरक्षा मुद्रा को मजबूत कर सकते हैं।
  5. समुदाय संचालित: यह परियोजना साइबर सुरक्षा समुदाय के भीतर सहयोग और ज्ञान साझा करने की भावना को बढ़ावा देती है, जिससे चालकों से संबंधित उभरते खतरों और कमजोरियों से एक कदम आगे रहने के लिए एक संयुक्त प्रयास को प्रोत्साहित किया जाता है।

हमें और अधिक बताएँ!

सत्यापित, सत्यापित नहीं

Microsoft ब्लॉक सूची के साथ कार्य करते समय , कुछ हैश VirusTotal या Google पर मौजूद नहीं होते हैं। इसलिए, हमने YAML में सत्यापित True|False कुंजी बनाई। यदि कोई हैश VirusTotal पर उपलब्ध है, तो फ़ील्ड को TRUE के रूप में चिह्नित करें, अन्यथा इसे FALSE के रूप में चिह्नित करें।

सत्यापित
सत्यापित नहीं है

श्रेणियाँ

श्रेणियों को विभिन्न प्रकार के ड्राइवरों को ट्रैक करने के तरीके के रूप में पेश किया गया था। जैसे-जैसे हम आगे बढ़ेंगे, हम और श्रेणियां जोड़ने की योजना बना रहे हैं।

कमजोर चालक:

एक कमजोर ड्राइवर एक सॉफ्टवेयर घटक है जो कंप्यूटर के ऑपरेटिंग सिस्टम और उसके हार्डवेयर उपकरणों के बीच संचार का प्रबंधन करता है लेकिन इसमें कमजोरियां या खामियां होती हैं जिनका दुर्भावनापूर्ण अभिनेताओं द्वारा फायदा उठाया जा सकता है। ये भेद्यता अन्य कारकों के साथ-साथ प्रोग्रामिंग त्रुटियों, अपर्याप्त इनपुट सत्यापन, या अनुचित सुरक्षा उपायों से उत्पन्न हो सकती हैं।

उदाहरणों में शामिल हैं capcom.sys और asrdrv10.sys ।

दुर्भावनापूर्ण ड्राइवर:

एक दुर्भावनापूर्ण ड्राइवर एक सॉफ़्टवेयर घटक है जिसे कंप्यूटर के ऑपरेटिंग सिस्टम और उसके हार्डवेयर उपकरणों के बीच संचार को प्रबंधित करने के लिए डिज़ाइन किया गया है, लेकिन एक छिपे हुए, हानिकारक इरादे से। कमजोर ड्राइवरों के विपरीत, जिनमें अनजाने में खामियां या कमजोरियां होती हैं, दुर्भावनापूर्ण ड्राइवरों को सिस्टम से समझौता करने, संवेदनशील जानकारी चुराने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए जानबूझकर तैयार किया जाता है।

हम इसे डैक्सिन या अन्य लक्षित हमलों जैसे अभियानों के साथ लगातार देखते हैं । उदाहरणों में शामिल हैं: gtfkyj64.sys और Wantd.sys ।

जैसे ही हम बढ़ते हैं अन्य श्रेणियां शामिल होती हैं

  • प्रायोगिक ड्राइवर
  • समझौता प्रमाण पत्र

हमने अधिकांश ज्ञात ड्राइवरों को एकत्र किया है जो कमजोर हैं, लेकिन हमें बाकी लोगों को बचाने में आपकी सहायता की आवश्यकता है जो छाया में दुबके हुए हो सकते हैं।

योगदान आसान है! हमारे पास एक YAML टेम्प्लेट है जो प्रत्यक्ष और अनुसरण करने में आसान है। YAML को आसानी से पढ़ने योग्य और लिखने योग्य बनाया गया है, जो इसे विभिन्न अनुप्रयोगों के लिए उपयोगकर्ता के अनुकूल विकल्प बनाता है। प्रक्रिया को और सरल बनाने के लिए, हमने एक सीधा स्ट्रीमलिट ऐप विकसित किया है जो आपको परियोजना में निर्बाध योगदान को बढ़ावा देने के लिए जल्दी और सहजता से YAML फाइलें बनाने में सक्षम बनाता है।

Name: blacklotus_driver.sys
Author: Michael Haag
Created: '2023-04-05'
MitreID: T1068
Category: malicious
Verified: 'TRUE'
Commands:
  Command: 'sc.exe create blacklotus_driver.sys binPath=C:\windows\temp\blacklotus_driver.sys type=kernel 

    sc.exe start blacklotus_driver.sys'
  Description: The first in-the-wild UEFI bootkit bypassing UEFI Secure Boot on fully updated UEFI systems is now a reality. Once the persistence is configured, the BlackLotus bootkit is executed on every system start. The bootkits goal is to deploy a kernel driver and a final user-mode component.
  Usecase: Elevate privileges
  Privileges: kernel
  OperatingSystem: Windows 10
Resources:
- https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed/
Acknowledgement:
  Person: 'Martin Smolár, ESET'
  Handle: ''
Detection: []
KnownVulnerableSamples:
- Filename: 0x3440_blacklotus_v2_driver.sys
  MD5: '4ad8fd9e83d7200bd7f8d0d4a9abfb11'
  SHA1: '17fa047c1f979b180644906fe9265f21af5b0509'
  SHA256: '749b0e8c8c8b7dda8c2063c708047cfe95afa0a4d86886b31a12f3018396e67c'
  Signature:
  - '-'
  Date: ''
  Publisher: ''
  Company: ''
  Description: ''
  Product: ''
  ProductVersion: ''
  FileVersion: ''
  MachineType: ''
  OriginalFilename: ''
- Filename: 0x3040_blacklotus_beta_driver.sys
  MD5: a42249a046182aaaf3a7a7db98bfa69d
  SHA1: 1f3799fed3cf43254fe30dcdfdb8dc02d82e662b
  SHA256: f8236fc01d4efaa48f032e301be2ebba4036b2cd945982a29046eca03944d2ae
  Signature:
  - '-'
  Date: ''
  Publisher: ''
  Company: ''
  Description: ''
  Product: ''
  ProductVersion: ''
  FileVersion: ''
  MachineType: ''
  OriginalFilename: ''

सबसे पहले और सबसे महत्वपूर्ण मैं जोस ई हर्नांडेज़ को धन्यवाद देना चाहता हूँ कि उन्होंने इस परियोजना को आज के मुकाम तक पहुँचाने में मेरी सहायता की। YAML पीढ़ी के लिए CSV का पहला पास सुनने और बनाने के लिए पैट्रिक बरिस - LOLDrivers का मूल। मैट को एक ही विचार रखने और समीक्षा और कोड में सहायता करने के लिए। बोहोप्स मूल पिच को सुनने और आगे के रास्ते पर रोशनी डालने के लिए।
फ्लोरियन रोथ और नस्रेडिन बेनचेरचली सिग्मा को जोड़ने, समृद्ध करने और चीजों को लाइन में लाने में परम सहायता करते हैं!

रुचि के लिंक

  • LOLDrivers.io
  • गिटहब रेपो
  • स्ट्रीमलिट ऐप के साथ YAML जेनरेट करें
  • अतिरिक्त रिपोर्टिंग के साथ और बाइनरी मेटाडेटा जोड़ें
  • परियोजना से सभी ड्राइवरों के साथ एक स्थान। एक बंद दुकान।
  • स्ट्रीमलिट ऐप पर YAML संपादित करें ।
  • विस्तृत चालक विवरण।

LOL ड्राइवर्स और BYOVD क्यों नहीं?

मैट ग्रेबर और मैंने 2-3 साल पहले कमजोर ड्राइवरों का एक संग्रह शुरू किया था और मुझे वास्तव में LOLDrivers नाम पसंद है जिसे हमने गढ़ा था। यह सिर्फ चिपकना हुआ। चिंता न करें, इन्हें समानार्थक रूप से इस्तेमाल किया जा सकता है।

इसे पूरा करने में इतना समय क्यों लगा?

समय! और हमने शायद इसे 3 बार फिर से बनाया है।

एक ड्राइवर गायब है!

हाँ - इसीलिए तुम यहाँ हो! PR शिप करें , या GitHub इश्यू खोलें और हम इसे जोड़ देंगे!