dc0079-driver-load

# DC0079 — Driver Load ## Descrição **Driver Load** monitora o processo de carregamento de um driver no sistema operacional — tanto em modo usuário quanto em modo kernel. Um driver é um componente de software que permite ao OS e às aplicações interagir com dispositivos de hardware ou serviços do sistema. O carregamento de drivers é uma operação privilegiada e de alto risco, pois drivers em modo kernel têm acesso irrestrito ao sistema. Adversários exploram o carregamento de drivers de múltiplas formas: instalação de rootkits para persistência e evasão, carregamento de drivers não assinados para execução em kernel, e ataques BYOVD (Bring Your Own Vulnerable Driver) — onde um driver legítimo mas vulnerável é carregado para escalar privilégios ou desativar soluções de segurança como EDRs e antivírus. O Sysmon Event ID 6 é a principal fonte de telemetria para monitorar carregamentos de drivers no Windows. Este evento captura o caminho do driver, seu hash e o status de sua assinatura digital — informações críticas para detectar drivers suspeitos. Integrar esses dados com feeds de inteligência (como o projeto LOLDrivers) permite detecção em tempo real de drivers vulneráveis conhecidos. Diferente do [[dc0074-driver-metadata|DC0074 — Driver Metadata]] (que captura atributos estáticos), o Driver Load captura o evento dinâmico de carregamento — o momento exato em que o driver é inicializado pelo kernel, tornando-o o ponto de detecção mais oportuno para interromper ataques antes que o driver assuma controle do sistema. ## Telemetria | Plataforma | Fonte de Log | Evento | Notas | |------------|-------------|--------|-------| | Windows | Sysmon | Event ID 6 (DriverLoaded) | Principal fonte; inclui hash e SignatureStatus | | Windows | Windows Event Log | Event ID 7045 (Service Installed) | Drivers registrados como serviços | | Windows | Code Integrity | Event ID 3001–3004 | Drivers bloqueados por política | | Linux | auditd | `syscall=init_module` | Carregamento de módulo kernel | | Linux | dmesg | `insmod` / `modprobe` entries | Mensagens de carregamento | | macOS | Unified Logs | `kextd` process events | Kernel extensions (kexts) | ## Queries de Detecção ### KQL — Microsoft Sentinel (Sysmon Event ID 6) ```kql Event | where EventID == 6 | extend ImageLoaded = tostring(EventData.ImageLoaded) | extend Hashes = tostring(EventData.Hashes) | extend Signed = tostring(EventData.Signed) | extend SignatureStatus = tostring(EventData.SignatureStatus) | where Signed == "false" or SignatureStatus in ("Expired", "Revoked", "Invalid", "") or ImageLoaded matches regex @"(?i)(\\temp\\|\\users\\public\\|\\programdata\\[^\\]+\\[^\\]+\.sys)" | project TimeGenerated, Computer, ImageLoaded, Signed, SignatureStatus, Hashes | order by TimeGenerated desc ``` ### SPL — Splunk (Detecção de BYOVD) ```spl index=sysmon EventCode=6 | eval driver_hash=mvindex(split(Hashes, ","), 0) | lookup loldrivers_list.csv hash AS driver_hash OUTPUT is_vulnerable | where is_vulnerable="true" OR SignatureStatus!="Valid" | table _time, Computer, ImageLoaded, SignatureStatus, driver_hash, is_vulnerable | sort - _time ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1014-rootkit\|Rootkit]] | T1014 | Defense Evasion | | [[t1543-create-or-modify-system-process\|Create or Modify System Process]] | T1543 | Persistence | | [[t1068-exploitation-for-privilege-escalation\|Exploitation for Privilege Escalation]] | T1068 | Privilege Escalation | | [[t1562-impair-defenses\|Impair Defenses]] | T1562 | Defense Evasion | | [[t1553-subvert-trust-controls\|Subvert Trust Controls]] | T1553 | Defense Evasion | Ver também: [[ds0027-driver|DS0027 — Driver]], [[dc0074-driver-metadata|DC0074 — Driver Metadata]], [[_defenses|Hub de Defesas]]. ## Contexto LATAM > [!danger] Ataques BYOVD no Brasil > A técnica BYOVD ganhou destaque crescente em campanhas de ransomware direcionadas ao Brasil a partir de 2023. Operadores afiliados ao [[lockbit]] e ao [[blackcat]] utilizam drivers vulneráveis como `mhyprot2.sys` (Genshin Impact), `RTCore64.sys` (MSI Afterburner) e `truesight.sys` para encerrar processos de EDR antes da criptografia. Organizações no setor de [[financial]] e [[critical-infrastructure]] são os principais alvos. A mitigação mais eficaz é a aplicação de [[m1049-antivirusantimalware|políticas WDAC]] e a atualização contínua de listas de bloqueio de drivers vulneráveis. ## Referências - [MITRE ATT&CK — DC0079 Driver Load](https://attack.mitre.org/datacomponents/DC0079) - [LOLDrivers — Living Off The Land Drivers](https://www.loldrivers.io/) - [Microsoft — Sysmon Event ID 6](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [BYOVD — Técnica documentada pela CISA](https://www.cisa.gov/resources-tools/resources/stopransomware-guide) - [[_data-sources|DS0027 — Driver (parent data source)]]