v2.5.0

v2.5.0 [2024/03/30] - "BSides Tokyo Release"

New Features:

• automagic command: automatically executes as many commands as possible and output results to a new folder. (#132) (@fukusuket)
• stack-computers command: stack the Computer (default) or SrcComp fields as well as provide alert information. (#125) (@fukusuket)
• stack-ip-addresses command: stack the SrcIP (default) or TgtIP fields as well as provide alert information. (#129) (@fukusuket)
• stack-users command: stack the TgtUser (default) or SrcUser fields as well as provide alert information. (#130) (@fukusuket)
• You can now specify a directory of .jsonl files to scan. #133 (@hitenkoku)

Enhancements:

• Refactoring to remove duplicate code. (#99) (@fukusuket)
• Processing speed is more than twice as fast by changing the JSON parsing to jsony. (#122) (@fukusuket)
• Added decimal points in large numbers to make them easier to read. (#120) (@fukusuket)

新機能:

• automagicコマンド: 可能な限り多くのコマンドを自動的に実行し、結果を新しいフォルダに出力する。(#132) (@fukusuket)
• stack-computersコマンド: Computer(デフォルト)またはSrcCompフィールドのスタック分析をしながら、アラート情報も提供する。(#125) (@fukusuket)
• stack-ip-addressesコマンド: SrcIP(デフォルト)またはTgtIPフィールドのスタック分析をしながら、アラート情報も提供する。(#129) (@fukusuket)
• stack-usersコマンド: TgtUser(デフォルト)またはSrcUserフィールドのスタック分析をしながら、アラート情報も提供する。(#130) (@fukusuket)
• スキャン時に複数の.jsonlファイルが入っているディレクトリを指定できるようになった。 #133 (@hitenkoku)

改善:

• 重複するコードを削除するためのリファクタリング。 (#99) (@fukusuket)
• JSONのパースをjsonyに変更することで、処理速度が2倍以上速くなった。 (#122) (@fukusuket)
• 読みやすくするため、大きな数字に小数点を追加した。 (#120) (@fukusuket)

v2.4.0

v2.4.0 [2024/02/22] - "Ninja Day Release"

New Features:

• stack-cmdlines command: stack executed command lines. (#94) (@fukusuket)
• stack-dns command: stack DNS requests. (#95) (@fukusuket)
• stack-processes command: stack executed processes. (#93) (@fukusuket)
• stack-tasks command: parse and stack scheduled tasks. (#97) (@fukusuket)
• timeline-tasks command: parse created scheduled task events into a CSV file. (#110) (@fukusuket)
• ttp-visualize-sigma command: extracts out TTPs from sigma rules and puts in a JSON file to upload to MITRE ATT&CK Navigator to visualize in a heatmap. (#92) (@fukusuket)

Enhancements:

• ttp-visualize command: added color gradient to the heatmap. (#90) (@fukusuket)

Bug Fixes:

• split-csv-timeline command failed with Haybuasa 2.13.0 CSV results. (#103) (@fukusuket)

新機能:

• stack-cmdlinesコマンド: 実行されたコマンドラインのスタック分析。(#94) (@fukusuket)
• stack-dnsコマンド: DNSリクエストのスタック分析。(#95) (@fukusuket)
• stack-processesコマンド: 実行されたプロセスのスタック分析。(#93) (@fukusuket)
• stack-tasksコマンド: スケジュールされたタスクのパースとスタック分析。(#97) (@fukusuket)
• timeline-tasksコマンド: 作成されたスケジュールタスクをパースし、CSVファイルに保存する。 (#110) (@fukusuket)
• ttp-visualize-sigmaコマンド: MITRE ATT&CK Navigatorにアップロードし、SigmaルールのTTPをヒートマップで可視化するために、JSONファイルに作成する。(#92) (@fukusuket)

改善:

• ttp-visualizeコマンド: ヒートマップにカラーグラデーションを追加した。(#90) (@fukusuket)

バグ修正:

• split-csv-timelineコマンドが、Haybuasa 2.13.0のCSV結果で失敗するので、修正した。(#103) (@fukusuket)

v2.3.1

v2.3.1 [2023/01/28] - "Year Of The Dragon Release"

Enhancements:

• In the ttp-visualize command, the name of the rule that detected the technique will now be shown in the comment when hovering over the technique in MITRE ATT&CK Navigator. (#82) (@fukusuket)
• Added rule titles to the ttp-summary command output. (#83) (@fukusuket)

Bug Fixes:

• The CSV file would not be saved in the timeline-suspicious-process command if either the number of Security 4688 or Sysmon 1 events was zero while having events in the other format. (#86) (@YamatoSecurity)

改善:

• ttp-visualize コマンドで、MITRE ATT&CK Navigator上のテクニックをマウスオーバーしたときに、検知ルール名が表示されるようした。(#82) (@fukusuket)
• ttp-summaryコマンドの結果にルールのタイトルを追加した。(#83) (@fukusuket)

バグ修正:

• timeline-suspicious-processコマンドで、Security 4688またはSysmon 1のイベント数が0であり、他の形式のイベントがある場合、CSVファイルは保存されなかった。(#86) (@YamatoSecurity)

v2.3.0

v2.3.0 [2023/12/23] - "SECCON Christmas Release"

New Features:

• Added the ttp-visualize command to extract TTPs and create a JSON file to visualize in ATT&CK Navigator. (#76) (@fukusuket)
• Added the ttp-summary command to summarize tactics and techniques found in each computer. (#78) (@fukusuket)

Bug Fixes:

• Fixed a display error (mojibake) in the timeline-partition-diagnostic command. (#74) (@fukusuket)

新機能:

• ATT&CK Navigatorで可視化するために、TTPを抽出してJSONファイルを作成するttp-visualizeコマンドを追加した。 (#76) (@fukusuket)
• コンピュータ毎に検知されたTTPsの要約を出力するttp-summaryコマンドを追加した。 (#78) (@fukusuket)

バグ修正:

• timeline-partition-diagnosticコマンドの文字化けを修正した。 (#74) (@fukusuket)

v2.2.0

v2.2.0 [2023/12/04] - "Nasi Lemak Release"

New Features:

• Added timeline-partition-diagnostic command to parse the Windows 10 Microsoft-Windows-Partition%4Diagnostic.evtx log file and report information about all the connected devices and their Volume Serial Numbers, both currently present on the device and previously existed. (Based on https://github.com/theAtropos4n6/Partition-4DiagnosticParser) (#70) (@fukusuket)

Enhancements:

• Improved the display of the progress bar in the vt-lookup command. (#68) (@fukusuket)

Bug Fixes:

• Fixed an unhandled exception bug when key is not found. (#65) (@fukusuket)
• Newline handling was not done properly in extract-scriptblocks command for JSON input. (#71) (@fukusuket)

新機能:

• Windows10のMicrosoft-Windows-Partition%4Diagnostic.evtxを解析し、接続されたすべてのデバイスおよびそれらのボリュームシリアル番号に関する情報を出力するtimeline-partition-diagnosticコマンドを追加した。現在および過去に接続されたデバイスに関する情報を出力する。 (処理は https://github.com/theAtropos4n6/Partition-4DiagnosticParser を参考に作成された) (#70) (@fukusuket)

改善:

• vt-lookupコマンドのプログレスバーの表示を改善した。 (#68) (@fukusuket)

バグ修正:

• キーが存在しない場合の未処理の例外のバグを修正した。 (#65) (@fukusuket)
• JSON入力の場合、extract-scriptblocksコマンドで改行処理が正しく行われていなかった。 (#71) (@fukusuket)

v2.1.0

v2.1.0 [2023/10/31] - "Halloween Release"

New Features:

• New extract-scriptblocks command to reassemble PowerShell EID 4104 ScriptBlock logs. (#47) (@fukusuket)

Enchancements:

• Takajo now compiles with Nim 2.0.0. (#31) (@fukusuket)
• Replaced HTTP with Puppy to reduce external dependencies. (#33) (@fukusuket)
• Made VirusTotal lookups multi-threaded to increase performance. (#33) (@fukusuket)
• Added file existence checks when specifying the timeline. (@fukusuket)
• Added a warning when the timeline is not in JSONL format. (#43) (@fukusuket)
• Output root process information in the sysmon-process-tree command. Processes are now sorted by timestamp. (#54) (@fukusuket)

Bug Fixes:

• timeline-suspicious-processes would crash when Hayabusa results from version 2.8.0+ was used. (#35) (@fukusuket)
• Fixed a JSON parsing error in VirusTotal lookups when an invalid API key was specified. (@fukusuket)
• Fixed a bug in sysmon-process-tree in which process information would sometimes be outputted twice. (#52) (@fukusuket)
• timeline-suspicious-processes was not correctly outputting ParentPGUID field. Improved PID decimal conversion. (#50) (@fukusuket)
• Fixed an error when the specified PGUID was invalid or does not exist in the JSONL timeline. (#53) (@fukusuket)

新機能:

• PowerShell EID 4104のScriptBlockログを元に戻すextract-scriptblocksコマンドを追加した。 (#47) (@fukusuket)

改善:

• TakajoがNim 2.0.0でコンパイルできるようになった。(#31) (@fukusuket)
• 依存関係を減らすため、HTTPクライアントをPuppyに置き換えた。 (#33) (@fukusuket)
• パフォーマンス向上のため、VirusTotalクエリをマルチスレッドにした。 (#33) (@fukusuket)
• タイムラインを指定する際のファイル存在チェックを追加した。 (@fukusuket)
• タイムラインがJSONL形式でない場合の警告を追加した。(#43) (@fukusuket)
• sysmon-process-treeコマンドでルートプロセス情報も出力する。プロセスがタイムスタンプ順にソートされるようになった。(#54) (@fukusuket)

バグ修正:

• Hayabusa 2.8.0以上の結果でtimeline-suspicious-processesを実行した際のクラッシュを修正した。 (#35) (@fukusuket)
• 無効なAPIキーが指定された場合に、VirusTotalの検索でJSONパースエラーが発生する問題を修正した。(@fukusuket)
• sysmon-process-treeコマンドでプロセス情報が2回出力されることがあるバグを修正した。(#52) (@fukusuket)
• timeline-suspicious-processesがParentPGUIDフィールドを正しく出力していなかったので修正した。また、PIDの10進数変換を改善した。(#50) (@fukusuket)
• 指定されたPGUIDが無効であるか、JSONL タイムラインに存在しない場合にエラーが発生する問題を修正した。 (#53) (@fukusuket)

v2.0.0

v2.0.0 "SANS DFIR Summit Release"

New Features:

• list-domains: create a list of unique domains (input: JSONL, profile: standard) (@YamatoSecurity)
• list-hashes: create a list of process hashes to be used with vt-hash-lookup (input: JSONL, profile: standard) (@YamatoSecurity)
• list-ip-addresses: create a list of unique target and/or source IP addresses (input: JSONL, profile: standard) (@YamatoSecurity)
• split-csv-timeline: split up a large CSV file into smaller ones based on the computer name (input: non-multiline CSV, profile: any) (@YamatoSecurity)
• split-json-timeline: split up a large JSONL timeline into smaller ones based on the computer name (input: JSONL, profile: any) (@fukusuket)
• stack-logons: stack logons by target user, target computer, source IP address and source computer (input: JSONL, profile: standard) (@YamatoSecurity)
• sysmon-process-tree: output the process tree of a certain process (input: JSONL, profile: standard) (@hitenkoku)
• timeline-logon: create a CSV timeline of logon events (input: JSONL, profile: standard) (@YamatoSecurity)
• timeline-suspicious-processes: create a CSV timeline of suspicious processes (input: JSONL, profile: standard) (@YamatoSecurity)
• vt-domain-lookup: look up a list of domains on VirusTotal (input: text file) (@YamatoSecurity)
• vt-hash-lookup: look up a list of hashes on VirusTotal (input: text file) (@YamatoSecurity)
• vt-ip-lookup: look up a list of IP addresses on VirusTotal (input: text file) (@YamatoSecurity)

新機能:

• list-domains: vt-domain-lookupコマンドで使用する、重複のないドメインのリストを作成する (@YamatoSecurity)
• list-hashes: vt-hash-lookup で使用するプロセスのハッシュ値のリストを作成する (@YamatoSecurity)
• list-ip-addresses: vt-ip-lookupコマンドで使用する、重複のない送信元/送信先のIPリストを作成する(@YamatoSecurity)
• split-csv-timeline: コンピューター名に基づき、大きなCSVタイムラインを小さなCSVタイムラインに分割する (@YamatoSecurity)
• split-json-timeline: コンピューター名に基づき、大きなJSONLタイムラインを小さなJSONLタイムラインに分割する(@fukusuket)
• stack-logons: ユーザー名、コンピューター名、送信元IPアドレス、送信元コンピューター名など、項目ごとの上位ログオンを出力する (@YamatoSecurity)
• sysmon-process-tree: プロセスツリーを出力する (@hitenkoku)
• timeline-logon: ログオンイベントのCSVタイムラインを作成する (@YamatoSecurity)
• timeline-suspicious-processes: 不審なプロセスのCSVタイムラインを作成する (@YamatoSecurity)
• vt-domain-lookup: VirusTotalでドメインのリストを検索し、悪意のあるドメインをレポートする (@YamatoSecurity)
• vt-hash-lookup: VirusTotalでハッシュのリストを検索し、悪意のあるハッシュ値をレポートする (@YamatoSecurity)
• vt-ip-lookup: VirusTotalでIPアドレスのリストを検索し、悪意のあるIPアドレスをレポートする (@YamatoSecurity)

v1.0.0

v1.0.0 "CODE BLUE 2022 Release"

New Features:

• list-undetected-evtx-files: List up all of the .evtx files that Hayabusa didn't have a detection rule for. (#4) (@hitenkoku)
• list-unused-rules: List up all of the .yml detection rules that were not used. (#4) (@hitenkoku)
• Added Logo. If you want to hide the logo, use the -q, --quiet option. (#12) (@YamatoSecurity @hitenkoku)
• Added result output option. (-o, --output ) (#11) (@hitenkoku)

新機能:

• list-undetected-evtx-files: 検知しなかったルールファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)
• list-unused-rules: 検知しなかったevtxファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)
• ロゴを追加。-q, --quietで表示しないようにできる。 (#12) (@YamatoSecurity @hitenkoku)
• -o, --outputオプションの追加。結果を別ファイルにtxt形式で出力する機能を追加した。 (#11) (@hitenkoku)