Living Off The Land Drivers 1.0 リリース
まず — フィードバックやコメントをくださった皆様に感謝いたします。本当に感謝しております。
序章
Living Off The Land Drivers (LOLDrivers) プロジェクトは、開始以来、目覚ましい成長と成功を収めてきました。念のために言っておきますが、このプロジェクトは、既知の脆弱性や悪意のある動作を持つドライバーの包括的でよく管理されたリポジトリを提供することを目的としています。1.0 リリースでは、アナリストや研究者にとってさらに価値のあるいくつかの新機能、ドライバーの強化、アップデートを導入できることを嬉しく思います。このブログ投稿では、これらの機能強化について説明し、プロジェクトが達成したいくつかのマイルストーンを祝います。まだ読んでいない場合は、プロジェクトを発表する元のブログ投稿を読んで、その目的と目標の詳細を確認することをお勧めします。
プロジェクトのマイルストーン
Rastamouseの努力のおかげで、プロジェクトの発表から 24 時間も経たないうちに私たちの最初の貢献が行われました。それ以来、LOLDrivers Web サイトには4.8,000 人の新規ユーザーが登録されており、最も多くアクセスされたドライバーはLenovoDiagnosticsDriver .sys です。過去 30 日間だけで、貢献者によって 13 個の新しいドライバーがリポジトリに追加されました。私たちはコミュニティの反応に興奮しており、プロジェクトをさらに改善するために継続的に貢献していただいていることに感謝しています。
コミュニティ
リリースアイテムのリストに入る前に、コミュニティの反応に焦点を当てたいと思います。これには、LOLDrivers プロジェクトが利用または言及されたツイート、出版物、プロジェクト、その他のインスタンスが含まれます。
LOLDrivers クライアント
LOLDrivers-client.exe -m [MODE] [OPTIONS]
Modes:
online Download the newest driver set (default)
local Use a local drivers.json file (requires '-f')
internal Use the built-in driver set (can be outdated)
Options:
-d Directory to scan for drivers (default: Windows Default)
-f File path to 'drivers.json' for mode 'local'
-t Number of threads to spawn (default: 20)
-v Print verbose messages (default: false)
-h Shows this text
ソーとロキ
- https://github.com/Neo23x0/signature-base/blob/master/iocs/hash-iocs.txt#L10827
- https://github.com/Neo23x0/Loki/releases
- https://github.com/0xjxd/KQL-Hunting/blob/main/MDE-LOLDRIVERS.kql
- https://github.com/mgreen27/DetectRaptor/blob/master/vql/LolDrivers.yaml
- https://github.com/rweijnen/Posh-Snippets/blob/master/ScanLolDrivers.ps1
SANS インターネット ストーム センター
- https://isc.sans.edu/podcastdetail.html?id=8444
- https://gist.github.com/schrodyn/45eab4f9229f116e2cfd2c427a84fdd6
1. 新しいドライバーの強化
このリリースでは、新しいメタデータ抽出機能を利用して、非常に貴重なドライバーのメタデータをすべて含む、ドライバーごとに新しいセクションを追加しました。たとえば、Authentihash を追加すると、ファイルを一意に識別して検証する効率的な方法が提供されます。その他のメタデータ フィールドには、ファイル ハッシュ (MD5、SHA1、SHA256)、署名、日付、発行者、会社、説明、製品、製品バージョン、ファイル バージョン、マシン タイプ、元のファイル名、内部名、著作権、インポート、エクスポートされた関数、およびPDB パス。これらの強化は、アナリストや研究者がリポジトリ内のドライバーをより深く理解し、調査するのに役立ちます。
JSONおよびCSVファイルには、すべての新しい属性が含まれるようになりました。生の YAML が必要な場合は、ここYAMLを使用してください。
ここに収集されたすべての認証ハッシュのリストも追加しました
まず、各ドライバーにすべてのメタデータが追加されていることがわかります。
ドライバーのページを下にスクロールすると、ドライバーのインポート、エクスポート、およびすべての署名情報が表示されます。
生の YAML にはすべての属性が含まれています。
2. drivers/ ディレクトリーにあるドライバー・バイナリー
Git LFS を使用してドライバーをdrivers/ディレクトリに保存し始めました。各リリースには、これらすべてのバイナリを含むdrivers.zipファイルが含まれるようになります。これにより、アナリストはプロジェクト内のすべてのドライバーを簡単にダウンロードして分析できるようになります。バイナリには、ファイルの <md5>.bin 形式に従って名前が付けられます。
3. ドライバー名ではなく UUID に変更されました
リポジトリを操作し、ドライバー名に基づいてシグマ ルールを確認しているときに、プロジェクトが時間の経過とともに拡大するにつれて重複する名前が発生する可能性があることに気づきました。UUID を採用し、ドライバー名をタグとして割り当てることでスキームを変更することにしました。このアップデートにより、ドライバーの無限のセットが可能になります。また、元のドライバ名が不明な場合は、元のファイル名の属性を利用します。
主な違いは、URL が UUID に基づいていることです。https://www.loldrivers.io/drivers/275c80c5-a67c-4536-b29e-4e481242cb01/
4. エラスティックドライバーの追加
Nasreddine は、Elastic ドライバー yara セットを詳しく調べ、合計 740 以上のドライバーを含むスプレッドシートを作成することができました。VTI クエリを使用してすべてのメタデータを収集し、CSV 出力を生成し、その後、すべてのドライバーをダウンロードしてプロジェクトに追加しました。
VirusTotal 強化スクリプト:https://gist.github.com/nasbench/93b55c1fbe01d8341b7c9ed80a80ebbc
強化されたデータ スプレッドシート:https://docs.google.com/spreadsheets/d/1lTNqD2t9UbFOLQbNWeLVbN8XCK8Dd72XavEQrkvtZVY/edit?usp=sharing
その後、Nasreddine は、ドライバー バイナリと新しい yaml ファイルの完全なセットを含む大規模な PR を提供しました。
- https://github.com/magicsword-io/LOLDrivers/pull/63
LOLDrivers Web サイトが更新され、新しいメタデータと最新のバイナリへのリンクが追加されました。ランディング ページにドライバーの SHA256 ハッシュが表示されるようになり、ユーザーのナビゲーションと情報検索がさらに簡素化されました。
6. YAML 仕様を使用した更新された検証 CI ジョブ
一貫性を維持し、YAML 構築の問題を自動的に検証/レポートするために、 jsonschema specを使用して検証 CI ジョブを更新しました。この改善により、コミュニティ内の誰かが PR を作成する際のプロセスが合理化されます。すべてのコミュニティへの貢献に感謝し、歓迎します。
7.リリースCIジョブを追加
プロジェクトリリースを作成するためのリリース CI ジョブを追加しました。これにより、プロジェクトを改善する際にスナップショットインタイムのビルドが可能になります。CI ジョブでは、driver.zip ファイルも作成され、リリース ノートが含まれるため、プロジェクトの進行状況に関する最新情報を入手しやすくなります。
8. コミュニティの貢献を通じて追加された新しいドライバー
コミュニティはこのプロジェクトに積極的に貢献しており、追加された新しいドライバーのいくつかを紹介したいと思います。
- dcr.sys
- SSPORT.sys
- LgCoreTemp.sys
- bedaisy.sys
- RTCore64.sys (新しいハッシュ)
- hw.sys (新しいハッシュ)
- Windbg.sys
- Sense5Ext.sysにハッシュを追加
- KApcHelper_x64.sysを追加
- mJj0ge.sysを追加
- prokiller64.sysを追加
- fur.sysを追加
- procexp152.sys
LOLDrivers プロジェクトの範囲の拡大にご協力いただいたすべての貢献者に感謝します。
結論
Living Off The Land Drivers プロジェクトの 1.0 リリースでは、数多くの機能強化と更新が行われ、アナリストや研究者にとってさらに価値のあるリソースとなっています。コミュニティの継続的なサポートに感謝しています。
コミュニティとメンテナーに多大なる感謝を!
プロジェクトに貢献してくれたコミュニティ メンバー ( goosvorbook、hRun、VoidSec、Wack0、X90e、hfiref0x、BlureL ) に心からの感謝を表したいと思います。あなたの献身と努力は、LOLDrivers の成長と成功に役立ちました。また、プロジェクトのメンテナーである Nas、Mike、Jose の貴重な仕事にも敬意を表したいと思います。彼らの献身と努力がプロジェクトを前進させ続け、セキュリティ コミュニティにとって不可欠なリソースとなっています。
皆様の貢献に感謝いたします。皆様のご支援によりプロジェクトが成長し、進化し続けるのを楽しみにしています。