Versione 1.0 di Living Off The Land Drivers

May 09 2023
Primo: vogliamo ringraziare tutti per il feedback e i commenti! Lo apprezziamo davvero. Introduzione Fin dall'inizio, il progetto Living Off The Land Drivers (LOLDrivers) ha visto una crescita e un successo straordinari.

Primo: vogliamo ringraziare tutti per il feedback e i commenti! Lo apprezziamo davvero.

introduzione

Sin dal suo inizio, il progetto Living Off The Land Drivers (LOLDrivers) ha registrato un'enorme crescita e successo. Come promemoria, il progetto mira a fornire un archivio completo e ben mantenuto di driver con vulnerabilità note o comportamenti dannosi. Con la versione 1.0, siamo entusiasti di introdurre diverse nuove funzionalità, arricchimento dei driver e aggiornamenti che lo rendono ancora più prezioso per analisti e ricercatori. In questo post del blog, ti illustreremo questi miglioramenti e celebreremo alcuni dei traguardi raggiunti dal progetto. Se non l'hai già fatto, ti consigliamo di leggere il post sul blog originale che annuncia il progetto per un maggiore contesto sul suo scopo e sui suoi obiettivi.

Pietre miliari del progetto

Il nostro primo contributo è arrivato meno di 24 ore dopo l'annuncio del progetto, grazie agli sforzi di Rastamouse . Da allora, il sito Web LOLDrivers ha visto 4,8k nuovi utenti , con LenovoDiagnosticsDriver .sys come driver più visitato. Solo negli ultimi 30 giorni, 13 nuovi driver sono stati aggiunti al repository dai contributori. Siamo entusiasti della risposta della comunità e grati per i continui contributi che aiutano a migliorare ulteriormente il progetto.

Comunità

Prima di addentrarci nell'elenco degli elementi di rilascio, vorremmo evidenziare la risposta della community. Ciò include tweet, pubblicazioni, progetti e altri casi in cui il progetto LOLDrivers è stato utilizzato o menzionato.

Un cliente LOLDrivers

LOLDrivers-client.exe -m [MODE] [OPTIONS]

Modes:
    online    Download the newest driver set (default)
    local     Use a local drivers.json file (requires '-f')
    internal  Use the built-in driver set (can be outdated)

Options:
    -d Directory to scan for drivers (default: Windows Default)
    -f File path to 'drivers.json' for mode 'local'
    -t Number of threads to spawn (default: 20)
    -v Print verbose messages (default: false)
    -h Shows this text

Thor e Loki

  • https://github.com/Neo23x0/signature-base/blob/master/iocs/hash-iocs.txt#L10827
  • https://github.com/Neo23x0/Loki/releases
  • https://github.com/0xjxd/KQL-Hunting/blob/main/MDE-LOLDRIVERS.kql
  • https://github.com/mgreen27/DetectRaptor/blob/master/vql/LolDrivers.yaml
  • https://github.com/rweijnen/Posh-Snippets/blob/master/ScanLolDrivers.ps1
  • https://github.com/fr0gger/Awesome_Malware_Techniques

SANS Internet Storm Center

  • https://isc.sans.edu/podcastdetail.html?id=8444
  • https://gist.github.com/schrodyn/45eab4f9229f116e2cfd2c427a84fdd6

1. Nuovi arricchimenti driver

In questa versione, abbiamo aggiunto una nuova sezione per ciascun driver che include tutti i metadati del driver estremamente preziosi utilizzando il nostro nuovo estrattore di metadati . Ad esempio, l'aggiunta di Authentihash fornisce un modo efficiente per identificare e convalidare in modo univoco i file. Altri campi di metadati includono hash di file (MD5, SHA1 e SHA256), firma, data, editore, azienda, descrizione, prodotto, versione del prodotto, versione del file, tipo di macchina, nome file originale, nome interno, copyright, importazioni, funzioni esportate e percorso PPB. Questi arricchimenti aiutano analisti e ricercatori a comprendere e analizzare meglio i driver nel nostro repository.

I file JSON e CSV ora includono tutti i nuovi attributi. Se vuoi lo YAML grezzo vai qui YAML .

Abbiamo anche aggiunto un elenco di tutti gli Authentihash raccolti qui

Tutte le opzioni

Per prima cosa ora noti che ogni driver ha tutti i metadati aggiunti

Mentre scorri verso il basso nella pagina del driver, ora vedrai le importazioni, le esportazioni del driver e tutte le informazioni sulla firma

Il raw YAML contiene ogni attributo:

2. Driver binari nella directory drivers/

Abbiamo iniziato a utilizzare Git LFS per memorizzare i driver nella directory drivers/ . Ogni versione includerà ora un file drivers.zip contenente tutti questi file binari. Ciò consente agli analisti di scaricare e analizzare comodamente tutti i driver all'interno del progetto. I file binari sono denominati in base al formato <md5>.bin del file.

3. Modificato in UUID anziché in Nomi driver

Durante il lavoro con il repository e la revisione della regola sigma basata sui nomi dei driver, abbiamo riconosciuto che potrebbero verificarsi nomi duplicati man mano che il progetto si espande nel tempo. Abbiamo deciso di modificare lo schema adottando gli UUID e assegnando i nomi dei driver come tag. Questo aggiornamento consente un set infinito di driver. Inoltre, se il nome del driver originale è sconosciuto, utilizzeremo l'attributo del nome del file originale.

La differenza principale è che gli URL saranno basati sull'UUID —https://www.loldrivers.io/drivers/275c80c5-a67c-4536-b29e-4e481242cb01/

4. Aggiungi driver elastici

Nasreddine ha approfondito il set di yara dei driver Elastic ed è stato in grado di produrre un foglio di calcolo per un totale di oltre 740 driver totali. Abbiamo utilizzato una query VTI per raccogliere tutti i metadati e produrre un output csv, quindi abbiamo proseguito con il download di tutti i driver e l'aggiunta al progetto!

Script di arricchimento VirusTotal:https://gist.github.com/nasbench/93b55c1fbe01d8341b7c9ed80a80ebbc

Foglio dati arricchito:https://docs.google.com/spreadsheets/d/1lTNqD2t9UbFOLQbNWeLVbN8XCK8Dd72XavEQrkvtZVY/edit?usp=sharing

Nasreddine ha quindi fornito un enorme PR con i binari del driver e un set completo di nuovi file yaml.

  • https://github.com/magicsword-io/LOLDrivers/pull/63

Il sito Web LOLDrivers è stato aggiornato per includere nuovi metadati e collegamenti agli ultimi file binari. La pagina di destinazione ora mostra gli hash SHA256 dei conducenti, semplificando ulteriormente la navigazione e il recupero delle informazioni per gli utenti.

6. Job CI di convalida aggiornato con una specifica YAML

Per mantenere la coerenza e convalidare/segnalare automaticamente eventuali problemi di costruzione di YAML, abbiamo aggiornato il processo CI di convalida con una specifica jsonschema . Questo miglioramento aiuta a semplificare il processo quando un PR viene creato da qualcuno nella comunità. Apprezziamo e accogliamo con favore tutti i contributi della comunità!

7. Aggiunto Release CI Job

Abbiamo aggiunto un processo CI di rilascio per creare versioni di progetto . Questo ci consente di avere build istantanee nel tempo man mano che miglioriamo il progetto. Il lavoro CI crea anche il file driver.zip e include le note di rilascio, rendendo ancora più facile rimanere informati sullo stato di avanzamento del progetto.

8. Nuovi driver aggiunti tramite i contributi della community

La community ha contribuito attivamente al progetto e vorremmo evidenziare alcuni dei nuovi driver aggiunti:

- dcr.sys

- SSPORT.sys

-LgCoreTemp.sys _

- bedaisy.sys

- RTCore64.sys (nuovi hash)

- hw.sys (nuovi hash)

-windbg.sys _

- Aggiungi hash a Sense5Ext.sys

- Aggiungere KApcHelper_x64.sys

- Aggiungere mJj0ge.sys

- Aggiungi prokiller64.sys

- Aggiungi fur.sys

- procexp152.sys

Grazie a tutti i contributori che hanno contribuito ad espandere la portata del progetto LOLDrivers!

Conclusione

La versione 1.0 del progetto Living Off The Land Drivers apporta numerosi miglioramenti e aggiornamenti, rendendolo una risorsa ancora più preziosa per analisti e ricercatori. Siamo grati per il supporto continuo della comunità.

Un enorme grazie alla nostra community e ai manutentori!

Vorremmo estendere i nostri più sentiti ringraziamenti ai membri della comunità che hanno contribuito al progetto: goosvorbook , hRun , VoidSec , Wack0 , X90e , hfiref0x e BlureL . La tua dedizione e il tuo impegno sono stati fondamentali per la crescita e il successo di LOLDrivers. Vogliamo anche riconoscere il lavoro inestimabile dei manutentori del progetto: Nas, Mike e Jose. Il loro impegno e il duro lavoro continuano a portare avanti il ​​progetto ea renderlo una risorsa essenziale per la comunità della sicurezza.

Grazie a tutti per i vostri contributi e non vediamo l'ora di vedere il progetto continuare a crescere ed evolversi con il vostro supporto!