v2.7.1

v2.7.1 [2024/10/31] - "Halloween Release"

Bug Fixes:

• The Source IP Address and Source Computer fields for 4624 successful logon events in the logon timeline were backwards. (#208) (@fukusuket)

バグ修正:

• ログオンタイムラインの成功したログオンイベント(4624)において、ソースIPアドレスおよびソースコンピュータのフィールドが逆になっていた。(#208) (@fukusuket)

v2.7.0

v2.7.0 [2024/10/23] - "SecTor Release"

New Features:

• extract-credentials command: extract out plaintext credentials from the command line information in Security 4688 and Sysmon 1 events. Ex: wmic, schtasks, net user, psexec usage. (#192) (@fukusuket)
• html-server command: create a dynamic server to view the HTML summary reports. (@nishikawaakira)

Enhancements:

• Detection summary for Total Detections and Unique Detections in the Rule Summary page of the HTML report has been consolidated into one table. (#182) (@nishikawaakira)
• Computer summary page was added to the HTML report. (#183) (@nishikawaakira)
• Added a list of detected alerts to the Rule Summary page. (#175) (@nishikawaakira)
• Detection Rule List lists more detailed information. (#176) (@nishikawaakira)

Bug Fixes:

• Invalid JSON line errors would display with the default Hayabusa profile. (#169) (@nishikawaakira)
• Graphs were being aggregated to the first date for each rule. (#191) (@nishikawaakira)

Other:

• License is changed from GPL-3.0 to AGPL-3.0. (@YamatoSecurity)

新機能:

• extract-credentialsコマンド: セキュリティ4688とSysmon 1イベントのコマンドライン情報から平文の認証情報を取り出す。例: wmic、schtasks、net user、psexecの使用。 (#192) (@fukusuket)
• html-serverコマンド: HTMLサマリレポートを動的に作成するウェブサーバを起動する。(@nishikawaakira)

改善:

• HTMLレポートのRule SummaryページのTotal DetectionsとUnique Detectionsの検出サマリが1つの表に統合された。(#182) (@nishikawaakira)
• HTMLレポートにComputer Summaryページが追加された。 (#183) (@nishikawaakira)
• Rule Summaryページに検出されたアラート一覧を追加した。(#175) (@nishikawaakira)
• Detection Rule Listにもっと詳細な情報を追加した。 (#176) (@nishikawaakira)

バグ修正:

• Hayabusaのデフォルトプロファイルを使用した場合、Invalid JSON lineというエラーが表示され、失敗していた。 (#169) (@nishikawaakira)
• グラフは各ルールの最初の日付まで集計されていた。 (#191) (@nishikawaakira)

その他:

• ライセンスをGPL-3.0からAGPL-3.0に変えた。(@YamatoSecurity)

v2.6.0

v2.6.0 [2024/08/23] - "HITCON Release"

Note: Binaries were re-uploaded on 2024/09/10 to include the templates folder needed for the html-report command.

New Features:

• New html-report command to create a HTML summary report. (#165) (@nishikawaakira)

Enhancements:

• Added -f, --failedLogons to the stack-logons command and added stacked failed logon information to the automagic command output. (#152) (@fukusuket)
• Updated MITRE ATT&CK to v15.0. (#155) (@fukusuket)

Bug Fixes:

• Fixed a compile error on macOS due to treeform/puppy#118 . (#158) (@YamatoSecurity)
• Fixed a compile error when using nim 2.0.6. (#162) (@fukusuket)
• Alert level information was not being shown in the timeline-suspicious-processes command. (#167) (@fukusuket)

新機能:

HTMLレポートを作成するための新しいhtml-reportコマンド。(#165) (@nishikawaakira)

改善:

• stack-logonsコマンドに-f, --failedLogonsオプションを追加して、automagicコマンドで失敗したログイン集計を出力するようにした。 (#152) (@fukusuket)
• MITRE ATT&CKをv15.0に更新した。 (#155) (@fukusuket)

バグ修正:

• treeform/puppy#118 によるmacOSでのコンパイルエラーを修正した。 (#158) (@YamatoSecurity)
• Nim 2.0.6でのコンパイルエラーを修正した。 (#162) (@fukusuket)
• timeline-suspicious-processesコマンドでアラートレベルの情報が表示されていなかった。 (#167) (@fukusuket)

v2.5.0

v2.5.0 [2024/03/30] - "BSides Tokyo Release"

New Features:

• automagic command: automatically executes as many commands as possible and output results to a new folder. (#132) (@fukusuket)
• stack-computers command: stack the Computer (default) or SrcComp fields as well as provide alert information. (#125) (@fukusuket)
• stack-ip-addresses command: stack the SrcIP (default) or TgtIP fields as well as provide alert information. (#129) (@fukusuket)
• stack-users command: stack the TgtUser (default) or SrcUser fields as well as provide alert information. (#130) (@fukusuket)
• You can now specify a directory of .jsonl files to scan. #133 (@hitenkoku)

Enhancements:

• Refactoring to remove duplicate code. (#99) (@fukusuket)
• Processing speed is more than twice as fast by changing the JSON parsing to jsony. (#122) (@fukusuket)
• Added decimal points in large numbers to make them easier to read. (#120) (@fukusuket)

新機能:

• automagicコマンド: 可能な限り多くのコマンドを自動的に実行し、結果を新しいフォルダに出力する。(#132) (@fukusuket)
• stack-computersコマンド: Computer(デフォルト)またはSrcCompフィールドのスタック分析をしながら、アラート情報も提供する。(#125) (@fukusuket)
• stack-ip-addressesコマンド: SrcIP(デフォルト)またはTgtIPフィールドのスタック分析をしながら、アラート情報も提供する。(#129) (@fukusuket)
• stack-usersコマンド: TgtUser(デフォルト)またはSrcUserフィールドのスタック分析をしながら、アラート情報も提供する。(#130) (@fukusuket)
• スキャン時に複数の.jsonlファイルが入っているディレクトリを指定できるようになった。 #133 (@hitenkoku)

改善:

• 重複するコードを削除するためのリファクタリング。 (#99) (@fukusuket)
• JSONのパースをjsonyに変更することで、処理速度が2倍以上速くなった。 (#122) (@fukusuket)
• 読みやすくするため、大きな数字に小数点を追加した。 (#120) (@fukusuket)

v2.4.0

v2.4.0 [2024/02/22] - "Ninja Day Release"

New Features:

• stack-cmdlines command: stack executed command lines. (#94) (@fukusuket)
• stack-dns command: stack DNS requests. (#95) (@fukusuket)
• stack-processes command: stack executed processes. (#93) (@fukusuket)
• stack-tasks command: parse and stack scheduled tasks. (#97) (@fukusuket)
• timeline-tasks command: parse created scheduled task events into a CSV file. (#110) (@fukusuket)
• ttp-visualize-sigma command: extracts out TTPs from sigma rules and puts in a JSON file to upload to MITRE ATT&CK Navigator to visualize in a heatmap. (#92) (@fukusuket)

Enhancements:

• ttp-visualize command: added color gradient to the heatmap. (#90) (@fukusuket)

Bug Fixes:

• split-csv-timeline command failed with Haybuasa 2.13.0 CSV results. (#103) (@fukusuket)

新機能:

• stack-cmdlinesコマンド: 実行されたコマンドラインのスタック分析。(#94) (@fukusuket)
• stack-dnsコマンド: DNSリクエストのスタック分析。(#95) (@fukusuket)
• stack-processesコマンド: 実行されたプロセスのスタック分析。(#93) (@fukusuket)
• stack-tasksコマンド: スケジュールされたタスクのパースとスタック分析。(#97) (@fukusuket)
• timeline-tasksコマンド: 作成されたスケジュールタスクをパースし、CSVファイルに保存する。 (#110) (@fukusuket)
• ttp-visualize-sigmaコマンド: MITRE ATT&CK Navigatorにアップロードし、SigmaルールのTTPをヒートマップで可視化するために、JSONファイルに作成する。(#92) (@fukusuket)

改善:

• ttp-visualizeコマンド: ヒートマップにカラーグラデーションを追加した。(#90) (@fukusuket)

バグ修正:

• split-csv-timelineコマンドが、Haybuasa 2.13.0のCSV結果で失敗するので、修正した。(#103) (@fukusuket)

v2.3.1

v2.3.1 [2023/01/28] - "Year Of The Dragon Release"

Enhancements:

• In the ttp-visualize command, the name of the rule that detected the technique will now be shown in the comment when hovering over the technique in MITRE ATT&CK Navigator. (#82) (@fukusuket)
• Added rule titles to the ttp-summary command output. (#83) (@fukusuket)

Bug Fixes:

• The CSV file would not be saved in the timeline-suspicious-process command if either the number of Security 4688 or Sysmon 1 events was zero while having events in the other format. (#86) (@YamatoSecurity)

改善:

• ttp-visualize コマンドで、MITRE ATT&CK Navigator上のテクニックをマウスオーバーしたときに、検知ルール名が表示されるようした。(#82) (@fukusuket)
• ttp-summaryコマンドの結果にルールのタイトルを追加した。(#83) (@fukusuket)

バグ修正:

• timeline-suspicious-processコマンドで、Security 4688またはSysmon 1のイベント数が0であり、他の形式のイベントがある場合、CSVファイルは保存されなかった。(#86) (@YamatoSecurity)

v2.3.0

v2.3.0 [2023/12/23] - "SECCON Christmas Release"

New Features:

• Added the ttp-visualize command to extract TTPs and create a JSON file to visualize in ATT&CK Navigator. (#76) (@fukusuket)
• Added the ttp-summary command to summarize tactics and techniques found in each computer. (#78) (@fukusuket)

Bug Fixes:

• Fixed a display error (mojibake) in the timeline-partition-diagnostic command. (#74) (@fukusuket)

新機能:

• ATT&CK Navigatorで可視化するために、TTPを抽出してJSONファイルを作成するttp-visualizeコマンドを追加した。 (#76) (@fukusuket)
• コンピュータ毎に検知されたTTPsの要約を出力するttp-summaryコマンドを追加した。 (#78) (@fukusuket)

バグ修正:

• timeline-partition-diagnosticコマンドの文字化けを修正した。 (#74) (@fukusuket)

v2.2.0

v2.2.0 [2023/12/04] - "Nasi Lemak Release"

New Features:

• Added timeline-partition-diagnostic command to parse the Windows 10 Microsoft-Windows-Partition%4Diagnostic.evtx log file and report information about all the connected devices and their Volume Serial Numbers, both currently present on the device and previously existed. (Based on https://github.com/theAtropos4n6/Partition-4DiagnosticParser) (#70) (@fukusuket)

Enhancements:

• Improved the display of the progress bar in the vt-lookup command. (#68) (@fukusuket)

Bug Fixes:

• Fixed an unhandled exception bug when key is not found. (#65) (@fukusuket)
• Newline handling was not done properly in extract-scriptblocks command for JSON input. (#71) (@fukusuket)

新機能:

• Windows10のMicrosoft-Windows-Partition%4Diagnostic.evtxを解析し、接続されたすべてのデバイスおよびそれらのボリュームシリアル番号に関する情報を出力するtimeline-partition-diagnosticコマンドを追加した。現在および過去に接続されたデバイスに関する情報を出力する。 (処理は https://github.com/theAtropos4n6/Partition-4DiagnosticParser を参考に作成された) (#70) (@fukusuket)

改善:

• vt-lookupコマンドのプログレスバーの表示を改善した。 (#68) (@fukusuket)

バグ修正:

• キーが存在しない場合の未処理の例外のバグを修正した。 (#65) (@fukusuket)
• JSON入力の場合、extract-scriptblocksコマンドで改行処理が正しく行われていなかった。 (#71) (@fukusuket)

v2.1.0

v2.1.0 [2023/10/31] - "Halloween Release"

New Features:

• New extract-scriptblocks command to reassemble PowerShell EID 4104 ScriptBlock logs. (#47) (@fukusuket)

Enchancements:

• Takajo now compiles with Nim 2.0.0. (#31) (@fukusuket)
• Replaced HTTP with Puppy to reduce external dependencies. (#33) (@fukusuket)
• Made VirusTotal lookups multi-threaded to increase performance. (#33) (@fukusuket)
• Added file existence checks when specifying the timeline. (@fukusuket)
• Added a warning when the timeline is not in JSONL format. (#43) (@fukusuket)
• Output root process information in the sysmon-process-tree command. Processes are now sorted by timestamp. (#54) (@fukusuket)

Bug Fixes:

• timeline-suspicious-processes would crash when Hayabusa results from version 2.8.0+ was used. (#35) (@fukusuket)
• Fixed a JSON parsing error in VirusTotal lookups when an invalid API key was specified. (@fukusuket)
• Fixed a bug in sysmon-process-tree in which process information would sometimes be outputted twice. (#52) (@fukusuket)
• timeline-suspicious-processes was not correctly outputting ParentPGUID field. Improved PID decimal conversion. (#50) (@fukusuket)
• Fixed an error when the specified PGUID was invalid or does not exist in the JSONL timeline. (#53) (@fukusuket)

新機能:

• PowerShell EID 4104のScriptBlockログを元に戻すextract-scriptblocksコマンドを追加した。 (#47) (@fukusuket)

改善:

• TakajoがNim 2.0.0でコンパイルできるようになった。(#31) (@fukusuket)
• 依存関係を減らすため、HTTPクライアントをPuppyに置き換えた。 (#33) (@fukusuket)
• パフォーマンス向上のため、VirusTotalクエリをマルチスレッドにした。 (#33) (@fukusuket)
• タイムラインを指定する際のファイル存在チェックを追加した。 (@fukusuket)
• タイムラインがJSONL形式でない場合の警告を追加した。(#43) (@fukusuket)
• sysmon-process-treeコマンドでルートプロセス情報も出力する。プロセスがタイムスタンプ順にソートされるようになった。(#54) (@fukusuket)

バグ修正:

• Hayabusa 2.8.0以上の結果でtimeline-suspicious-processesを実行した際のクラッシュを修正した。 (#35) (@fukusuket)
• 無効なAPIキーが指定された場合に、VirusTotalの検索でJSONパースエラーが発生する問題を修正した。(@fukusuket)
• sysmon-process-treeコマンドでプロセス情報が2回出力されることがあるバグを修正した。(#52) (@fukusuket)
• timeline-suspicious-processesがParentPGUIDフィールドを正しく出力していなかったので修正した。また、PIDの10進数変換を改善した。(#50) (@fukusuket)
• 指定されたPGUIDが無効であるか、JSONL タイムラインに存在しない場合にエラーが発生する問題を修正した。 (#53) (@fukusuket)

v2.0.0

v2.0.0 "SANS DFIR Summit Release"

New Features:

• list-domains: create a list of unique domains (input: JSONL, profile: standard) (@YamatoSecurity)
• list-hashes: create a list of process hashes to be used with vt-hash-lookup (input: JSONL, profile: standard) (@YamatoSecurity)
• list-ip-addresses: create a list of unique target and/or source IP addresses (input: JSONL, profile: standard) (@YamatoSecurity)
• split-csv-timeline: split up a large CSV file into smaller ones based on the computer name (input: non-multiline CSV, profile: any) (@YamatoSecurity)
• split-json-timeline: split up a large JSONL timeline into smaller ones based on the computer name (input: JSONL, profile: any) (@fukusuket)
• stack-logons: stack logons by target user, target computer, source IP address and source computer (input: JSONL, profile: standard) (@YamatoSecurity)
• sysmon-process-tree: output the process tree of a certain process (input: JSONL, profile: standard) (@hitenkoku)
• timeline-logon: create a CSV timeline of logon events (input: JSONL, profile: standard) (@YamatoSecurity)
• timeline-suspicious-processes: create a CSV timeline of suspicious processes (input: JSONL, profile: standard) (@YamatoSecurity)
• vt-domain-lookup: look up a list of domains on VirusTotal (input: text file) (@YamatoSecurity)
• vt-hash-lookup: look up a list of hashes on VirusTotal (input: text file) (@YamatoSecurity)
• vt-ip-lookup: look up a list of IP addresses on VirusTotal (input: text file) (@YamatoSecurity)

新機能:

• list-domains: vt-domain-lookupコマンドで使用する、重複のないドメインのリストを作成する (@YamatoSecurity)
• list-hashes: vt-hash-lookup で使用するプロセスのハッシュ値のリストを作成する (@YamatoSecurity)
• list-ip-addresses: vt-ip-lookupコマンドで使用する、重複のない送信元/送信先のIPリストを作成する(@YamatoSecurity)
• split-csv-timeline: コンピューター名に基づき、大きなCSVタイムラインを小さなCSVタイムラインに分割する (@YamatoSecurity)
• split-json-timeline: コンピューター名に基づき、大きなJSONLタイムラインを小さなJSONLタイムラインに分割する(@fukusuket)
• stack-logons: ユーザー名、コンピューター名、送信元IPアドレス、送信元コンピューター名など、項目ごとの上位ログオンを出力する (@YamatoSecurity)
• sysmon-process-tree: プロセスツリーを出力する (@hitenkoku)
• timeline-logon: ログオンイベントのCSVタイムラインを作成する (@YamatoSecurity)
• timeline-suspicious-processes: 不審なプロセスのCSVタイムラインを作成する (@YamatoSecurity)
• vt-domain-lookup: VirusTotalでドメインのリストを検索し、悪意のあるドメインをレポートする (@YamatoSecurity)
• vt-hash-lookup: VirusTotalでハッシュのリストを検索し、悪意のあるハッシュ値をレポートする (@YamatoSecurity)
• vt-ip-lookup: VirusTotalでIPアドレスのリストを検索し、悪意のあるIPアドレスをレポートする (@YamatoSecurity)