Wersja Living Off The Land Drivers 1.0

May 09 2023
Po pierwsze — chcemy podziękować wszystkim za opinie i komentarze! Naprawdę to doceniamy. Wprowadzenie Od samego początku projekt Living Off The Land Drivers (LOLDrivers) odnotował ogromny wzrost i sukces.

Po pierwsze — chcemy podziękować wszystkim za opinie i komentarze! Naprawdę to doceniamy.

Wstęp

Od samego początku projekt Living Off The Land Drivers (LOLDrivers) odnotował ogromny wzrost i sukces. Przypominamy, że projekt ma na celu zapewnienie kompleksowego i dobrze utrzymanego repozytorium sterowników ze znanymi lukami lub złośliwymi zachowaniami. Wraz z wydaniem 1.0 z radością wprowadzamy kilka nowych funkcji, wzbogacenie sterowników i aktualizacje, które czynią go jeszcze bardziej wartościowym dla analityków i badaczy. W tym poście na blogu przeprowadzimy Cię przez te ulepszenia i uczcimy niektóre kamienie milowe osiągnięte w ramach projektu. Jeśli jeszcze tego nie zrobiłeś, zalecamy przeczytanie oryginalnego posta na blogu ogłaszającego projekt, aby uzyskać więcej informacji na temat jego celu i celów.

Kamienie milowe projektu

Nasz pierwszy wkład wpłynął mniej niż 24 godziny po ogłoszeniu projektu, dzięki staraniom Rastamyszy . Od tego czasu w witrynie LOLDrivers pojawiło się 4,8 tys. nowych użytkowników , przy czym najczęściej odwiedzanym sterownikiem jest LenovoDiagnosticsDriver .sys. Tylko w ciągu ostatnich 30 dni współtwórcy dodali do repozytorium 13 nowych sterowników. Jesteśmy zachwyceni odpowiedzią społeczności i wdzięczni za nieustanny wkład, dzięki któremu projekt jest jeszcze lepszy.

Wspólnota

Zanim przejdziemy do listy elementów wydania, chcielibyśmy podkreślić reakcję społeczności. Obejmuje to tweety, publikacje, projekty i inne przypadki wykorzystania lub wzmianki o projekcie LOLDrivers.

Klient LOLDrivers

LOLDrivers-client.exe -m [MODE] [OPTIONS]

Modes:
    online    Download the newest driver set (default)
    local     Use a local drivers.json file (requires '-f')
    internal  Use the built-in driver set (can be outdated)

Options:
    -d Directory to scan for drivers (default: Windows Default)
    -f File path to 'drivers.json' for mode 'local'
    -t Number of threads to spawn (default: 20)
    -v Print verbose messages (default: false)
    -h Shows this text

Thora i Lokiego

  • https://github.com/Neo23x0/signature-base/blob/master/iocs/hash-iocs.txt#L10827
  • https://github.com/Neo23x0/Loki/releases
  • https://github.com/0xjxd/KQL-Hunting/blob/main/MDE-LOLDRIVERS.kql
  • https://github.com/mgreen27/DetectRaptor/blob/master/vql/LolDrivers.yaml
  • https://github.com/rweijnen/Posh-Snippets/blob/master/ScanLolDrivers.ps1
  • https://github.com/fr0gger/Awesome_Malware_Techniques

Internetowe centrum burzy SANS

  • https://isc.sans.edu/podcastdetail.html?id=8444
  • https://gist.github.com/schrodyn/45eab4f9229f116e2cfd2c427a84fdd6

1. Nowe wzbogacenia sterowników

W tej wersji dodaliśmy nową sekcję dla każdego sterownika, która zawiera wszystkie niezwykle cenne metadane sterownika z wykorzystaniem naszego nowego narzędzia do wyodrębniania metadanych . Na przykład dodanie Authentihash zapewnia skuteczny sposób jednoznacznej identyfikacji i sprawdzania poprawności plików. Inne pola metadanych obejmują skróty plików (MD5, SHA1 i SHA256), podpis, datę, wydawcę, firmę, opis, produkt, wersję produktu, wersję pliku, typ komputera, oryginalną nazwę pliku, nazwę wewnętrzną, prawa autorskie, import, eksportowane funkcje i Ścieżka PDB. Te wzbogacenia pomagają analitykom i badaczom lepiej zrozumieć i zbadać sterowniki w naszym repozytorium.

Pliki JSON i CSV zawierają teraz wszystkie nowe atrybuty . Jeśli chcesz surowego YAML, przejdź tutaj YAML .

Dodaliśmy również listę wszystkich zebranych tutaj Authentihashów

Wszystkie opcje

Najpierw zauważysz, że każdy sterownik ma dodane wszystkie metadane

Podczas przewijania w dół strony sterownika zobaczysz importy i eksporty sterowników oraz wszystkie informacje o podpisach

Surowy YAML zawiera każdy atrybut:

2. Pliki binarne sterowników w katalogudrivers/

Zaczęliśmy używać Git LFS do przechowywania sterowników w katalogudrivers / . Każda wersja będzie teraz zawierała plik Drivers.zip zawierający wszystkie te pliki binarne. Umożliwia to analitykom wygodne pobieranie i analizowanie wszystkich sterowników w ramach projektu. Nazwy plików binarnych są zgodne z formatem pliku <md5>.bin.

3. Zmieniono na UUID zamiast nazw sterowników

Pracując z repozytorium i przeglądając regułę sigma opartą na nazwach sterowników, zauważyliśmy, że w miarę rozszerzania się projektu mogą pojawiać się duplikaty nazw. Postanowiliśmy zmodyfikować schemat, przyjmując identyfikatory UUID i przypisując nazwy sterowników jako tagi. Ta aktualizacja pozwala na nieskończony zestaw sterowników. Ponadto, jeśli oryginalna nazwa sterownika jest nieznana, użyjemy atrybutu oryginalnej nazwy pliku.

Główna różnica polega na tym, że adresy URL będą oparte na identyfikatorze UUID —https://www.loldrivers.io/drivers/275c80c5-a67c-4536-b29e-4e481242cb01/

4. Dodano elastyczne sterowniki

Nasreddine zagłębił się w zestaw elastycznych sterowników yara i był w stanie stworzyć arkusz kalkulacyjny zawierający łącznie ponad 740 sterowników. Użyliśmy zapytania VTI, aby zebrać wszystkie metadane i wygenerować plik wyjściowy csv, a następnie pobraliśmy wszystkie sterowniki i dodaliśmy je do projektu!

Skrypt wzbogacający VirusTotal:https://gist.github.com/nasbench/93b55c1fbe01d8341b7c9ed80a80ebbc

Wzbogacony arkusz danych:https://docs.google.com/spreadsheets/d/1lTNqD2t9UbFOLQbNWeLVbN8XCK8Dd72XavEQrkvtZVY/edit?usp=sharing

Następnie Nasreddine dostarczył ogromny PR z plikami binarnymi sterowników i pełnym zestawem nowych plików yaml.

  • https://github.com/magicsword-io/LOLDrivers/pull/63

Witryna LOLDrivers została zaktualizowana w celu uwzględnienia nowych metadanych i łączy do najnowszych plików binarnych. Strona docelowa wyświetla teraz skróty SHA256 sterowników, jeszcze bardziej upraszczając nawigację i wyszukiwanie informacji dla użytkowników.

6. Zaktualizowano zadanie CI walidacji o specyfikację YAML

Aby zachować spójność i automatycznie weryfikować/raportować wszelkie problemy z konstruowaniem YAML, zaktualizowaliśmy zadanie walidacji CI o specyfikację jsonschema . To ulepszenie pomaga usprawnić proces tworzenia żądania ściągnięcia przez kogoś ze społeczności. Doceniamy i witamy wszystkie wkłady społeczności!

7. Dodano zadanie Release CI

Dodaliśmy zadanie Release CI do tworzenia wydań projektów . Dzięki temu możemy tworzyć migawki w czasie, gdy ulepszamy projekt. Zadanie CI tworzy również plik driver.zip i zawiera informacje o wersji, co jeszcze bardziej ułatwia otrzymywanie informacji o postępach w projekcie.

8. Nowe sterowniki dodane za pośrednictwem wkładów społeczności

Społeczność aktywnie uczestniczyła w projekcie i chcielibyśmy wyróżnić niektóre z nowych dodanych sterowników:

- dcr.sys

- SSPORT.sys

-LgCoreTemp.sys _

- bedaisy.sys

- RTCore64.sys (nowe skróty)

- hw.sys (nowe skróty)

- windbg.sys

- Dodaj Hash do Sense5Ext.sys

- Dodaj KApcHelper_x64.sys

- Dodaj mJj0ge.sys

- Dodaj prokiller64.sys

- Dodaj fur.sys

- procexp152.sys

Dziękujemy wszystkim współpracownikom, którzy pomogli rozszerzyć zakres projektu LOLDrivers!

Wniosek

Wersja 1.0 projektu Living Off The Land Drivers zawiera liczne ulepszenia i aktualizacje, dzięki czemu jest jeszcze cenniejszym źródłem informacji dla analityków i badaczy. Jesteśmy wdzięczni za ciągłe wsparcie społeczności.

Ogromne podziękowania dla naszej społeczności i opiekunów!

Chcielibyśmy serdecznie podziękować członkom społeczności, którzy przyczynili się do projektu: goosvorbook , hRun , VoidSec , Wack0 , X90e , hfiref0x i BlureL . Twoje poświęcenie i wysiłek odegrały kluczową rolę w rozwoju i sukcesie LOLDrivers. Chcemy również docenić nieocenioną pracę opiekunów projektu: Nasa, Mike'a i Jose. Ich zaangażowanie i ciężka praca nadal napędzają projekt i sprawiają, że jest on niezbędnym zasobem dla społeczności zajmującej się bezpieczeństwem.

Dziękujemy wszystkim za wkład i nie możemy się doczekać, aż projekt będzie się rozwijał i ewoluował dzięki Waszemu wsparciu!