v2.2.0

v2.2.0 [2023/12/04] - "Nasi Lemak Release"

New Features:

• Added timeline-partition-diagnostic command to parse the Windows 10 Microsoft-Windows-Partition%4Diagnostic.evtx log file and report information about all the connected devices and their Volume Serial Numbers, both currently present on the device and previously existed. (Based on https://github.com/theAtropos4n6/Partition-4DiagnosticParser) (#70) (@fukusuket)

Enhancements:

• Improved the display of the progress bar in the vt-lookup command. (#68) (@fukusuket)

Bug Fixes:

• Fixed an unhandled exception bug when key is not found. (#65) (@fukusuket)
• Newline handling was not done properly in extract-scriptblocks command for JSON input. (#71) (@fukusuket)

新機能:

• Windows10のMicrosoft-Windows-Partition%4Diagnostic.evtxを解析し、接続されたすべてのデバイスおよびそれらのボリュームシリアル番号に関する情報を出力するtimeline-partition-diagnosticコマンドを追加した。現在および過去に接続されたデバイスに関する情報を出力する。 (処理は https://github.com/theAtropos4n6/Partition-4DiagnosticParser を参考に作成された) (#70) (@fukusuket)

改善:

• vt-lookupコマンドのプログレスバーの表示を改善した。 (#68) (@fukusuket)

バグ修正:

• キーが存在しない場合の未処理の例外のバグを修正した。 (#65) (@fukusuket)
• JSON入力の場合、extract-scriptblocksコマンドで改行処理が正しく行われていなかった。 (#71) (@fukusuket)

v2.1.0

v2.1.0 [2023/10/31] - "Halloween Release"

New Features:

• New extract-scriptblocks command to reassemble PowerShell EID 4104 ScriptBlock logs. (#47) (@fukusuket)

Enchancements:

• Takajo now compiles with Nim 2.0.0. (#31) (@fukusuket)
• Replaced HTTP with Puppy to reduce external dependencies. (#33) (@fukusuket)
• Made VirusTotal lookups multi-threaded to increase performance. (#33) (@fukusuket)
• Added file existence checks when specifying the timeline. (@fukusuket)
• Added a warning when the timeline is not in JSONL format. (#43) (@fukusuket)
• Output root process information in the sysmon-process-tree command. Processes are now sorted by timestamp. (#54) (@fukusuket)

Bug Fixes:

• timeline-suspicious-processes would crash when Hayabusa results from version 2.8.0+ was used. (#35) (@fukusuket)
• Fixed a JSON parsing error in VirusTotal lookups when an invalid API key was specified. (@fukusuket)
• Fixed a bug in sysmon-process-tree in which process information would sometimes be outputted twice. (#52) (@fukusuket)
• timeline-suspicious-processes was not correctly outputting ParentPGUID field. Improved PID decimal conversion. (#50) (@fukusuket)
• Fixed an error when the specified PGUID was invalid or does not exist in the JSONL timeline. (#53) (@fukusuket)

新機能:

• PowerShell EID 4104のScriptBlockログを元に戻すextract-scriptblocksコマンドを追加した。 (#47) (@fukusuket)

改善:

• TakajoがNim 2.0.0でコンパイルできるようになった。(#31) (@fukusuket)
• 依存関係を減らすため、HTTPクライアントをPuppyに置き換えた。 (#33) (@fukusuket)
• パフォーマンス向上のため、VirusTotalクエリをマルチスレッドにした。 (#33) (@fukusuket)
• タイムラインを指定する際のファイル存在チェックを追加した。 (@fukusuket)
• タイムラインがJSONL形式でない場合の警告を追加した。(#43) (@fukusuket)
• sysmon-process-treeコマンドでルートプロセス情報も出力する。プロセスがタイムスタンプ順にソートされるようになった。(#54) (@fukusuket)

バグ修正:

• Hayabusa 2.8.0以上の結果でtimeline-suspicious-processesを実行した際のクラッシュを修正した。 (#35) (@fukusuket)
• 無効なAPIキーが指定された場合に、VirusTotalの検索でJSONパースエラーが発生する問題を修正した。(@fukusuket)
• sysmon-process-treeコマンドでプロセス情報が2回出力されることがあるバグを修正した。(#52) (@fukusuket)
• timeline-suspicious-processesがParentPGUIDフィールドを正しく出力していなかったので修正した。また、PIDの10進数変換を改善した。(#50) (@fukusuket)
• 指定されたPGUIDが無効であるか、JSONL タイムラインに存在しない場合にエラーが発生する問題を修正した。 (#53) (@fukusuket)

v2.0.0

v2.0.0 "SANS DFIR Summit Release"

New Features:

• list-domains: create a list of unique domains (input: JSONL, profile: standard) (@YamatoSecurity)
• list-hashes: create a list of process hashes to be used with vt-hash-lookup (input: JSONL, profile: standard) (@YamatoSecurity)
• list-ip-addresses: create a list of unique target and/or source IP addresses (input: JSONL, profile: standard) (@YamatoSecurity)
• split-csv-timeline: split up a large CSV file into smaller ones based on the computer name (input: non-multiline CSV, profile: any) (@YamatoSecurity)
• split-json-timeline: split up a large JSONL timeline into smaller ones based on the computer name (input: JSONL, profile: any) (@fukusuket)
• stack-logons: stack logons by target user, target computer, source IP address and source computer (input: JSONL, profile: standard) (@YamatoSecurity)
• sysmon-process-tree: output the process tree of a certain process (input: JSONL, profile: standard) (@hitenkoku)
• timeline-logon: create a CSV timeline of logon events (input: JSONL, profile: standard) (@YamatoSecurity)
• timeline-suspicious-processes: create a CSV timeline of suspicious processes (input: JSONL, profile: standard) (@YamatoSecurity)
• vt-domain-lookup: look up a list of domains on VirusTotal (input: text file) (@YamatoSecurity)
• vt-hash-lookup: look up a list of hashes on VirusTotal (input: text file) (@YamatoSecurity)
• vt-ip-lookup: look up a list of IP addresses on VirusTotal (input: text file) (@YamatoSecurity)

新機能:

• list-domains: vt-domain-lookupコマンドで使用する、重複のないドメインのリストを作成する (@YamatoSecurity)
• list-hashes: vt-hash-lookup で使用するプロセスのハッシュ値のリストを作成する (@YamatoSecurity)
• list-ip-addresses: vt-ip-lookupコマンドで使用する、重複のない送信元/送信先のIPリストを作成する(@YamatoSecurity)
• split-csv-timeline: コンピューター名に基づき、大きなCSVタイムラインを小さなCSVタイムラインに分割する (@YamatoSecurity)
• split-json-timeline: コンピューター名に基づき、大きなJSONLタイムラインを小さなJSONLタイムラインに分割する(@fukusuket)
• stack-logons: ユーザー名、コンピューター名、送信元IPアドレス、送信元コンピューター名など、項目ごとの上位ログオンを出力する (@YamatoSecurity)
• sysmon-process-tree: プロセスツリーを出力する (@hitenkoku)
• timeline-logon: ログオンイベントのCSVタイムラインを作成する (@YamatoSecurity)
• timeline-suspicious-processes: 不審なプロセスのCSVタイムラインを作成する (@YamatoSecurity)
• vt-domain-lookup: VirusTotalでドメインのリストを検索し、悪意のあるドメインをレポートする (@YamatoSecurity)
• vt-hash-lookup: VirusTotalでハッシュのリストを検索し、悪意のあるハッシュ値をレポートする (@YamatoSecurity)
• vt-ip-lookup: VirusTotalでIPアドレスのリストを検索し、悪意のあるIPアドレスをレポートする (@YamatoSecurity)

v1.0.0

v1.0.0 "CODE BLUE 2022 Release"

New Features:

• list-undetected-evtx-files: List up all of the .evtx files that Hayabusa didn't have a detection rule for. (#4) (@hitenkoku)
• list-unused-rules: List up all of the .yml detection rules that were not used. (#4) (@hitenkoku)
• Added Logo. If you want to hide the logo, use the -q, --quiet option. (#12) (@YamatoSecurity @hitenkoku)
• Added result output option. (-o, --output ) (#11) (@hitenkoku)

新機能:

• list-undetected-evtx-files: 検知しなかったルールファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)
• list-unused-rules: 検知しなかったevtxファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)
• ロゴを追加。-q, --quietで表示しないようにできる。 (#12) (@YamatoSecurity @hitenkoku)
• -o, --outputオプションの追加。結果を別ファイルにtxt形式で出力する機能を追加した。 (#11) (@hitenkoku)