# T1652 - Device Driver Discovery ## Descrição Adversários realizam enumeração de drivers de dispositivos instalados no host comprometido como parte da fase de reconhecimento interno. A técnica fornece um mapa detalhado do ambiente operacional da vítima, revelando três categorias de informações estratégicas: a função e propósito da máquina (servidor de segurança, estação de trabalho industrial, sistema de virtualização), a presença de ferramentas de defesa como EDRs e antivírus (correlacionada com [[t1518-001-security-software-discovery|Security Software Discovery]]), e potenciais vetores de [[t1068-exploitation-privilege-escalation|Exploração para Escalada de Privilégios]] via drivers vulneráveis ou não atualizados. No contexto brasileiro e latino-americano, essa técnica é especialmente crítica em ataques contra **infraestrutura industrial (ICS/SCADA)**, **setor financeiro** e **operadoras de telecomúnicações** - ambientes que frequentemente executam drivers proprietários e legados raramente monitorados. Grupos como o [[g1051-medusa-ransomware|Medusa Group]], que opera ransomware e extorsão múltipla, utilizam enumeração de drivers como passo precursor para identificar ambientes virtualizados (evadindo sandboxes via [[Sandbox Evasion]]) e para descobrir drivers vulneráveis exploráveis via técnica BYOVD (Bring Your Own Vulnerable Driver). A enumeração de drivers também está associada a ferramentas como [[s0125-remsec|Remsec]], implante de espionagem do grupo Strider/ProjectSauron, e ao [[s0376-hoplight|HOPLIGHT]], backdoor atribuído ao Lazarus Group com capacidade de reconhecimento de sistema profundo. No Linux e macOS, comandos como `lsmod` e `modinfo` executados por processos não-root em horários incomuns são indicadores de comprometimento. --- | Controle | Categoria | Aplicação para Organizações Brasileiras | |---|---|---| | Monitoramento de processos com Sysmon | Detecção | Configurar regras para alertar em execução de `driverquery.exe` por processos filhos de interpreters (PowerShell, cmd) | | Restrição de execução via AppLocker/WDAC | Hardening | Bloquear execução de `driverquery.exe` para usuários não-administradores em estações críticas | | EDR com detecção comportamental | Detecção | Soluções como CrowdStrike e SentinelOne detectam padrões de enumeração de sistema consistentes com T1652 | | Auditoria de drivers instalados | Hardening | Manter inventário de drivers autorizado (baseline) e alertar em desvios - especialmente relevante em ambientes ICS/SCADA | | Monitoramento de auditd no Linux | Detecção | Configurar regras para `finit_module` e `init_module` syscalls em servidores críticos | | Segmentação de ambientes OT/ICS | Prevenção | Isolar redes industriais com drivers proprietários - reduz impacto de reconhecimento bem-sucedido | --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Execução de<br/>Implante/Backdoor] B --> C[Reconhecimento<br/>de Sistema] C --> D:::highlight[T1652 - Device<br/>Driver Discovery] D --> E[Identificação de<br/>Defesas - EDR/AV] D --> F[Detecção de<br/>Ambiente Virtual] D --> G[Driver Vulnerável<br/>Identificado] E --> H([Evasão de Defesas]) F --> H G --> I([Escalada de Privilégios<br/>BYOVD]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Execução de comandos nativos de enumeração** Após ganhar execução no host alvo, o adversário invoca utilitários nativos do sistema operacional para listar drivers instalados. No Windows, o comando `driverquery.exe /fo CSV /v` retorna todos os drivers com status, módulo e data de criação em formato estruturado. A API do Windows `EnumDeviceDrivers()` é chamada programaticamente por implantes para obter a lista de módulos do kernel sem gerar eventos de processo filho visíveis. Drivers e serviços associados também são lidos diretamente do registro em `HKLM\SYSTEM\CurrentControlSet\Services`. No Linux, `lsmod` lista módulos do kernel ativos e `modinfo <módulo>` fornece metadados detalhados incluindo versão e dependências. **Passo 2 - Análise e correlação dos drivers identificados** O implante ou o operador analisa a lista de drivers em busca de padrões específicos: presença de drivers de produtos de segurança (Sophos, CrowdStrike, Carbon Black), drivers de hypervisors (vmhgfs, vboxguest, vsock) que indicam ambiente virtualizado ou sandbox, e drivers proprietários de sistemas industriais (Siemens, Rockwell, Honeywell) que sinalizam ambiente OT/ICS de alto valor. Ferramentas como [[s1139-inc-ransomware|INC Ransomware]] automatizam essa correlação contra listas de drivers conhecidos de produtos de segurança. **Passo 3 - Decisão de comportamento subsequente** Com base nos drivers descobertos, o adversário adapta a estratégia: (a) se detectar EDR ativo, carrega técnicas de evasão específicas para aquele produto; (b) se detectar ambiente virtual, pode abortar a execução para evitar análise em sandbox; (c) se identificar driver vulnerável conhecido (CVE com exploit BYOVD disponível), procede com [[t1068-exploitation-privilege-escalation|Escalada de Privilégios]] via kernel. Essa adaptabilidade é o que torna T1652 uma técnica de alto valor estratégico na cadeia de ataque. --- ## Detecção ### Event IDs Relevantes (Windows / Linux) | Plataforma | Event ID / Log | Evento | |---|---|---| | Windows | Event ID 4688 | Criação de processo - `driverquery.exe` executado por processo suspeito | | Windows | Sysmon Event ID 1 | Process Creaté com `driverquery` ou `sc query type= driver` | | Windows | Event ID 7045 | Instalação de novo serviço/driver (pós-enumeração BYOVD) | | Windows | Sysmon Event ID 13 | Registry Value Set em `HKLM\SYSTEM\CurrentControlSet\Services` | | Linux | Auditd `syscall=finit_module` | Carregamento de módulo de kernel | | Linux | `/var/log/syslog` | Execução de `lsmod` ou `modinfo` por UID não-root | ### Regra Sigma ```yaml title: Enumeração de Drivers de Dispositivo por Processo Suspeito id: b7e2a4f3-1c9d-4e8b-a021-5f7d3c2b8e14 status: experimental description: > Detecta execução de driverquery.exe ou consultas de drivers via sc.exe originadas de processos não-administrativos ou shells de ataque comuns, indicando reconhecimento T1652 em ambiente Windows. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_driverquery: Image|endswith: '\driverquery.exe' selection_sc_driver: Image|endswith: '\sc.exe' CommandLine|contains: 'type= driver' selection_parent_suspicious: ParentImage|endswith: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' condition: (selection_driverquery or selection_sc_driver) and selection_parent_suspicious falsepositives: - Scripts de inventário de TI legítimos - Ferramentas de ITSM como SCCM e Tanium level: medium tags: - attack.discovery - attack.t1652 ``` --- ## Mitigação > **Nota:** O MITRE ATT&CK não define mitigações específicas para T1652, pois a enumeração de drivers usa funcionalidades nativas do sistema operacional. As medidas abaixo são recomendações práticas para detecção e contenção. ## Threat Actors e Software Associado ### Threat Actors **[[g1051-medusa-ransomware|Medusa Group]]** é o principal ator associado a T1652 em documentação MITRE recente. O grupo, ativo em operações de ransomware e extorsão contra organizações no Brasil e LATAM, utiliza enumeração de drivers como parte do reconhecimento pré-ransomware para identificar soluções de segurança e adaptar o payload de criptografia. Sua presença no setor de saúde e educação brasileiro é documentada. ### Software - **[[s0376-hoplight|HOPLIGHT]]** - backdoor atribuído ao [[g0032-lazarus-group|Lazarus Group]] com módulo de reconhecimento profundo de sistema, incluindo enumeração de drivers e serviços. Utilizado em operações de espionagem e sabotagem contra infraestrutura crítica - **[[s1139-inc-ransomware|INC Ransomware]]** - ransomware-as-a-service com rotina de descoberta automatizada que inclui T1652 para identificar e desabilitar drivers de produtos de segurança antes da criptografia - **[[s0125-remsec|Remsec]]** - implante de espionagem de longa duração (APT atribuído ao grupo Strider/ProjectSauron) com capacidade de enumeração silenciosa de drivers e módulos do kernel, evitando detecção por permanecer ativo por anos em sistemas comprometidos ### Técnicas Correlatas - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - frequentemente executada em conjunto com T1652 - [[Sandbox Evasion]] - T1652 alimenta decisões de evasão - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - drivers vulneráveis identificados via T1652 são alvos BYOVD - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - técnica complementar para descoberta de serviços associados a drivers --- *Fonte: [MITRE ATT&CK - T1652](https://attack.mitre.org/techniques/T1652)*