Rilis Living Off The Land Drivers 1.0

May 09 2023
Pertama — Kami ingin berterima kasih kepada semua orang atas umpan balik dan komentarnya! Kami sangat menghargainya. Pendahuluan Sejak awal, proyek Living Off The Land Drivers (LOLDrivers) telah mengalami pertumbuhan dan kesuksesan yang luar biasa.

Pertama — Kami ingin berterima kasih kepada semua orang atas umpan balik dan komentarnya! Kami sangat menghargainya.

Perkenalan

Sejak awal, proyek Living Off The Land Drivers (LOLDrivers) telah mengalami pertumbuhan dan kesuksesan yang luar biasa. Sebagai pengingat, proyek ini bertujuan untuk menyediakan repositori driver yang komprehensif dan terpelihara dengan baik dengan kerentanan yang diketahui atau perilaku berbahaya. Dengan rilis 1.0, kami dengan senang hati memperkenalkan beberapa fitur baru, pengayaan driver, dan pembaruan yang membuatnya semakin berharga bagi analis dan peneliti. Dalam postingan blog ini, kami akan memandu Anda melalui penyempurnaan ini dan merayakan beberapa pencapaian yang telah dicapai proyek ini. Jika Anda belum melakukannya, kami sarankan untuk membaca posting blog asli yang mengumumkan proyek untuk konteks lebih lanjut tentang tujuan dan sasarannya.

Tonggak Proyek

Kontribusi pertama kami datang kurang dari 24 jam setelah mengumumkan proyek, berkat upaya Rastamouse . Sejak itu, situs web LOLDrivers telah melihat 4.8k pengguna baru , dengan LenovoDiagnosticsDriver .sys menjadi driver yang paling banyak dikunjungi. Dalam 30 hari terakhir saja, 13 driver baru ditambahkan ke repositori oleh para kontributor. Kami sangat senang dengan tanggapan masyarakat dan berterima kasih atas kontribusi berkelanjutan yang membantu menjadikan proyek ini lebih baik.

Masyarakat

Sebelum masuk ke daftar item rilis, kami ingin menyoroti tanggapan komunitas. Ini termasuk tweet, publikasi, proyek, dan contoh lain di mana proyek LOLDrivers telah digunakan atau disebutkan.

Klien LOLDrivers

LOLDrivers-client.exe -m [MODE] [OPTIONS]

Modes:
    online    Download the newest driver set (default)
    local     Use a local drivers.json file (requires '-f')
    internal  Use the built-in driver set (can be outdated)

Options:
    -d Directory to scan for drivers (default: Windows Default)
    -f File path to 'drivers.json' for mode 'local'
    -t Number of threads to spawn (default: 20)
    -v Print verbose messages (default: false)
    -h Shows this text

Thor dan Loki

  • https://github.com/Neo23x0/signature-base/blob/master/iocs/hash-iocs.txt#L10827
  • https://github.com/Neo23x0/Loki/releases
  • https://github.com/0xjxd/KQL-Hunting/blob/main/MDE-LOLDRIVERS.kql
  • https://github.com/mgreen27/DetectRaptor/blob/master/vql/LolDrivers.yaml
  • https://github.com/rweijnen/Posh-Snippets/blob/master/ScanLolDrivers.ps1
  • https://github.com/fr0gger/Awesome_Malware_Techniques

Pusat Badai Internet SANS

  • https://isc.sans.edu/podcastdetail.html?id=8444
  • https://gist.github.com/schrodyn/45eab4f9229f116e2cfd2c427a84fdd6

1. Pengayaan Driver Baru

Dalam rilis ini, kami telah menambahkan bagian baru untuk setiap driver yang menyertakan semua metadata driver yang sangat berharga dengan memanfaatkan metadata-extractor baru kami . Misalnya, penambahan Authentihash menyediakan cara yang efisien untuk mengidentifikasi dan memvalidasi file secara unik. Bidang metadata lainnya termasuk hash file (MD5, SHA1, dan SHA256), tanda tangan, tanggal, penerbit, perusahaan, deskripsi, produk, versi produk, versi file, jenis mesin, nama file asli, nama internal, hak cipta, impor, fungsi yang diekspor, dan jalur PDB. Pengayaan ini membantu analis dan peneliti lebih memahami dan menyelidiki penggerak di repositori kami.

File JSON dan CSV sekarang menyertakan semua atribut baru . Jika Anda ingin kepala YAML mentah di sini YAML .

Kami juga menambahkan daftar semua Authentihashes yang dikumpulkan di sini

Semua Pilihan

Pertama, Anda sekarang melihat setiap driver memiliki semua metadata yang ditambahkan

Saat Anda menggulir ke bawah pada halaman driver, Anda sekarang akan melihat impor driver, ekspor, dan semua informasi tanda tangan

YAML mentah berisi setiap atribut:

2. Binari Driver di bawah direktori driver/

Kami telah mulai menggunakan Git LFS untuk menyimpan driver di direktori drivers/ . Setiap rilis sekarang akan menampilkan file driver.zip yang berisi semua binari ini. Ini memungkinkan analis untuk mengunduh dan menganalisis semua driver dalam proyek dengan mudah. Binari diberi nama sesuai dengan format file <md5>.bin.

3. Diubah menjadi UUID, bukan Nama Driver

Saat bekerja dengan repositori dan meninjau aturan sigma berdasarkan nama driver, kami menyadari bahwa nama duplikat dapat terjadi saat proyek berkembang dari waktu ke waktu. Kami memutuskan untuk memodifikasi skema dengan mengadopsi UUID dan menetapkan nama driver sebagai tag. Pembaruan ini memungkinkan set driver yang tak terbatas. Selain itu, jika nama driver asli tidak diketahui, kami akan menggunakan atribut nama file asli.

Perbedaan utamanya adalah URL akan didasarkan pada UUID —https://www.loldrivers.io/drivers/275c80c5-a67c-4536-b29e-4e481242cb01/

4. Tambahkan Driver Elastis

Nasreddine mendalami set driver elastis yara dan mampu menghasilkan spreadsheet dengan total 740+ driver total. Kami menggunakan permintaan VTI untuk mengumpulkan semua metadata dan menghasilkan keluaran csv dan kemudian mengikutinya dengan mengunduh semua driver dan menambahkan ke proyek!

Skrip Pengayaan VirusTotal:https://gist.github.com/nasbench/93b55c1fbe01d8341b7c9ed80a80ebbc

Spreadsheet data yang diperkaya:https://docs.google.com/spreadsheets/d/1lTNqD2t9UbFOLQbNWeLVbN8XCK8Dd72XavEQrkvtZVY/edit?usp=sharing

Nasreddine kemudian memberikan PR besar-besaran dengan binari driver dan satu set lengkap file yaml baru.

  • https://github.com/magicsword-io/LOLDrivers/pull/63

Situs web LOLDrivers telah diperbarui untuk menyertakan metadata baru dan tautan ke binari terbaru. Laman landas kini menampilkan hash SHA256 dari driver, yang selanjutnya menyederhanakan navigasi dan pengambilan informasi untuk pengguna.

6. Pekerjaan CI Validasi Diperbarui dengan Spek YAML

Untuk menjaga konsistensi dan secara otomatis memvalidasi/melaporkan masalah konstruksi YAML apa pun, kami telah memperbarui tugas validasi CI dengan jsonschema spec . Peningkatan ini membantu merampingkan proses ketika PR dibuat oleh seseorang di komunitas. Kami menghargai dan menyambut semua kontribusi komunitas!

7. Menambahkan Pekerjaan CI Rilis

Kami telah menambahkan pekerjaan rilis CI untuk membuat rilis proyek . Hal ini memungkinkan kami untuk membangun snapshot-in-time saat kami meningkatkan proyek. Pekerjaan CI juga membuat file driver.zip dan menyertakan catatan rilis, membuatnya lebih mudah untuk tetap mendapat informasi tentang kemajuan proyek.

8. Driver Baru Ditambahkan melalui Kontribusi Komunitas

Komunitas telah berkontribusi secara aktif pada proyek ini, dan kami ingin menyoroti beberapa driver baru yang ditambahkan:

- dcr.sys

- SSPORT.sys

-LgCoreTemp.sys _

- bedaisy.sys

- RTCore64.sys (Hash Baru)

- hw.sys (Hash Baru)

- windbg.sys

- Tambahkan Hash ke Sense5Ext.sys

- Tambahkan KApcHelper_x64.sys

- Tambahkan mJj0ge.sys

- Tambahkan prokiller64.sys

- Tambahkan fur.sys

- procexp152.sys

Terima kasih kepada semua kontributor yang telah membantu memperluas cakupan proyek LOLDrivers!

Kesimpulan

Rilis 1.0 dari proyek Living Off The Land Drivers menghadirkan banyak peningkatan dan pembaruan, menjadikannya sumber daya yang lebih berharga bagi analis dan peneliti. Kami berterima kasih atas dukungan masyarakat yang berkelanjutan.

Terima Kasih Banyak untuk Komunitas dan Pemelihara Kami!

Kami ingin menyampaikan terima kasih yang tulus kepada anggota komunitas yang telah berkontribusi pada proyek ini: goosvorbook , hRun , VoidSec , Wack0 , X90e , hfiref0x dan BlureL . Dedikasi dan upaya Anda telah berperan penting dalam pertumbuhan dan kesuksesan LOLDrivers. Kami juga ingin menghargai karya tak ternilai dari para pengelola proyek: Nas, Mike, dan Jose. Komitmen dan kerja keras mereka terus mendorong proyek ini maju dan menjadikannya sumber daya penting bagi komunitas keamanan.

Terima kasih atas kontribusi Anda, dan kami berharap dapat melihat proyek terus tumbuh dan berkembang dengan dukungan Anda!