det0579-detection-strategy-for-device-driver-discovery

# DET0579 — Detection Strategy for Device Driver Discovery ## Descrição A descoberta de drivers de dispositivo ([[t1082-system-information-discovery|T1082]]) é utilizada por adversários em fases de reconhecimento interno para identificar drivers vulneráveis que podem ser explorados para escalada de privilégios (BYOVD — Bring Your Own Vulnerable Driver) ou para determinar se ferramentas de segurança (EDRs, antivírus) estão presentes no sistema. Comandos como `driverquery /v`, `sc query type= driver`, `wmic sysdriver list`, e consultas WMI a `Win32_SystemDriver` fornecem inventário completo dos drivers carregados. A técnica BYOVD merece destaque especial: ao identificar drivers legítimos mas vulneráveis presentes no sistema (como drivers de hardware, overclocking ou controladores de temperatura), adversários como [[g0032-lazarus-group]] e operadores de ransomware carregam versões vulneráveis desses drivers para executar código em modo kernel e desativar produtos de segurança. A enumeração prévia de drivers é o passo necessário para selecionar o driver BYOVD adequado ao ambiente da vítima. A detecção foca no contexto de execução: `driverquery`, `sc query type=driver` ou consultas WMI a drivers por processos suspeitos (especialmente pós-exploit ou em sessões de usuário não-TI) são sinais relevantes. A correlação com downloads subsequentes de arquivos `.sys` ou `sc.exe creaté type=kernel` confirma intenção maliciosa. ## Indicadores de Detecção - `driverquery /v` executado por processo filho de interpretador de scripts - Consulta WMI `SELECT * FROM Win32_SystemDriver` por processo não-administrativo - `sc query type= driver` executado em contexto de usuário comum ou script não agendado - Processo suspeito enumerando conteúdo de `C:\Windows\System32\drivers\` - Download de arquivo `.sys` seguido de `sc creaté type=kernel` em sequência - Evento Sysmon 7 (carregamento de driver) de path não-padrão após enumeração de drivers ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[T1543.003-create-or-modify-system-process-windows-service|T1543.003 — Windows Service]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] ## Analytics Relacionadas - [[an1595-analytic-1595|AN1595 — Analytic 1595]] - [[an1596-analytic-1596|AN1596 — Analytic 1596]] - [[an1597-analytic-1597|AN1597 — Analytic 1597]] --- *Fonte: [MITRE ATT&CK — DET0579](https://attack.mitre.org/detectionstrategies/DET0579)*