dc0074-driver-metadata

# DC0074 — Driver Metadata ## Descrição **Driver Metadata** captura dados contextuais sobre drivers do sistema operacional — incluindo atributos de integridade, assinaturas digitais, versões, hashes e comportamento em tempo de execução. Este componente é essencial para detectar drivers maliciosos, vulneráveis ou não assinados que adversários carregam para obter execução em modo kernel, evadir defesas e instalar rootkits. A válidação de metadados de driver é uma das principais linhas de defesa contra ataques do tipo **BYOVD (Bring Your Own Vulnerable Driver)**, técnica cada vez mais utilizada por grupos de ransomware como [[blackcat]] e atores patrocinados por estados. Nesses ataques, um driver legítimo mas vulnerável é carregado para desabilitar soluções de segurança ou escalar privilégios. No Windows, o Sysmon Event ID 6 é a principal fonte para monitorar carregamentos de drivers. Metadados como `SignatureStatus`, `Hashes` e `ImageLoaded` permitem correlacionar drivers carregados com listas de drivers vulneráveis conhecidos (como o projeto LOLDrivers) e com inteligência de ameaças ativa. No Linux, o monitoramento de módulos do kernel via `auditd` e `dmesg`, combinado com verificação de assinaturas (`modinfo`), fornece visibilidade equivalente. Em macOS, o monitoramento de kernel extensions (kexts) via Unified Logs é o mecanismo correspondente. ## Telemetria | Plataforma | Fonte de Log | Evento / Comando | Notas | |------------|-------------|-----------------|-------| | Windows | Sysmon | Event ID 6 (Driver Loaded) | Inclui hash, assinatura, caminho | | Windows | Windows Event Log | Event ID 3000–3006 (Code Integrity) | Falhas de válidação de assinatura | | Windows | Windows Event Log | Event ID 2000–2011 (WDAC) | Política de integridade de aplicação | | Windows | PowerShell | `Get-WindowsDriver -Online` | Lista drivers instalados | | Linux | auditd | `-w /lib/modules/ -p rwxa` | Monitorar acesso ao diretório de módulos | | Linux | dmesg / lsmod | `dmesg \| grep "module"` | Módulos carregados no kernel | | macOS | Unified Logs | `log show --predicaté 'kext load'` | Kernel extensions | ## Queries de Detecção ### KQL — Microsoft Sentinel (Sysmon Driver Load) ```kql Event | where EventID == 6 | extend DriverPath = tostring(EventData.ImageLoaded) | extend Signature = tostring(EventData.SignatureStatus) | where Signature != "Valid" or DriverPath matches regex @"\\Temp\\|\\AppData\\|\\Downloads\\" | project TimeGenerated, Computer, DriverPath, Signature, tostring(EventData.Hashes) | order by TimeGenerated desc ``` ### SPL — Splunk (Sysmon) ```spl index=sysmon EventCode=6 | eval sig_status=coalesce(SignatureStatus, "unknown") | where sig_status != "Valid" OR match(ImageLoaded, "(?i)(\\temp\\|\\appdata\\|\\downloads\\)") | table _time, Computer, ImageLoaded, SignatureStatus, Hashes | sort - _time ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1014-rootkit\|Rootkit]] | T1014 | Defense Evasion | | [[t1068-exploitation-for-privilege-escalation\|Exploitation for Privilege Escalation]] | T1068 | Privilege Escalation | | [[t1553-subvert-trust-controls\|Subvert Trust Controls]] | T1553 | Defense Evasion | | [[t1211-exploitation-for-defense-evasion\|Exploitation for Defense Evasion]] | T1211 | Defense Evasion | Ver também: [[ds0027-driver|DS0027 — Driver]], [[dc0079-driver-load|DC0079 — Driver Load]], [[_defenses|Hub de Defesas]]. ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Ataques BYOVD têm sido documentados em campanhas de ransomware contra o setor industrial e financeiro no Brasil. Grupos como [[g1004-lapsus]] e operadores afiliados ao [[lockbit]] utilizam drivers vulneráveis (ex: `RTCore64.sys`, `gdrv.sys`) para desativar EDRs antes de iniciar a criptografia. A baixa taxa de adoção de políticas WDAC (Windows Defender Application Control) em empresas brasileiras amplifica o risco. Setores de [[financial]] e [[government]] são os mais impactados. ## Referências - [MITRE ATT&CK — DC0074 Driver Metadata](https://attack.mitre.org/datacomponents/DC0074) - [LOLDrivers — Vulnerable Driver Database](https://www.loldrivers.io/) - [Microsoft — Sysmon Event ID 6](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [WDAC — Windows Defender Application Control](https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/) - [[_data-sources|DS0027 — Driver (parent data source)]]