🔍 Contexte

Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue.

🧩 Contenu de la contribution

Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel :

  • IoBitUnlocker — SHA256 : 64030dbd5a77510a00d33ea4e5d9f4d11643f77686b7100b5e98ffff1938bdf3 — utilisé pour terminer Windows Defender. Aucune signature numérique identifiée sur VirusTotal.
  • Zemana — SHA256 : 60483e8755a4d977de3c93189dfcd29bb9519d3813602797469751b0dad39fc7 — utilisé pour terminer Windows Defender. Signé par CleverSoar Electronic Technology Co., Ltd. via GlobalSign.
  • TfSysMon — SHA256 : 6cc73c52156f1c7ecd36951aaeb146ce5e690afd62214c5e4bedb328e859d013 — utilisé pour terminer Windows Defender. Signé par Inno Setup.

⚙️ Détails techniques

Les trois drivers sont exploités dans le cadre de la technique BYOVD, permettant à un attaquant de charger un driver légitime mais vulnérable pour interagir avec le noyau Windows et désactiver des solutions de sécurité comme Microsoft Defender. Un bug de type KeyError a également été corrigé dans le script gen-files.py du projet, causé par l’absence de certains champs de hash (SHA1/SHA256) dans les entrées de ces nouveaux samples.

📌 Type d’article

Il s’agit d’une publication de recherche sous forme de contribution open source à un référentiel CTI, visant à documenter de nouveaux drivers vulnérables exploitables dans des attaques BYOVD pour enrichir les bases de détection.

🧠 TTPs et IOCs détectés

TTP

  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1014 — Rootkit (Defense Evasion)

IOC

  • SHA256 : 64030dbd5a77510a00d33ea4e5d9f4d11643f77686b7100b5e98ffff1938bdf3VT · MalwareBazaar
  • SHA256 : 60483e8755a4d977de3c93189dfcd29bb9519d3813602797469751b0dad39fc7VT · MalwareBazaar
  • SHA256 : 6cc73c52156f1c7ecd36951aaeb146ce5e690afd62214c5e4bedb328e859d013VT · MalwareBazaar

Malware / Outils

  • IoBitUnlocker (tool)
  • Zemana (tool)
  • TfSysMon (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 4245 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/3 IOCs confirmés (MalwareBazaar, ThreatFox, VirusTotal) (15pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 64030dbd5a77510a… (sha256) → VT (48/77 détections)
  • 60483e8755a4d977… (sha256) → VT (47/76 détections)
  • 6cc73c52156f1c7e… (sha256) → VT (47/76 détections)

🔗 Source originale : https://github.com/magicsword-io/LOLDrivers/pull/221