Ransomware VEN0m: o ponto fraco do Windows Defender

Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime

Seguir

$Ransomware VEN0m: o ponto fraco do Windows Defender$

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

VEN0m é uma cepa de ransomware de código aberto escrita em Rust que inclui um driver do kernel conhecido por ser vulnerável (IMFForceDelete.sys) para contornar proteções de nível kernel. Nos testes, o malware criptografou arquivos, estabeleceu persistência e exibiu uma nota de resgate em um host Windows 11 totalmente atualizado com o Windows Defender ativado. A cadeia ponta a ponta abrange nove estágios e depende do carregamento bem-sucedido do driver vulnerável. A principal conclusão defensiva é simples: impeça o carregamento do driver e o ataque rompe. O relatório ressalta um ponto cego recorrente no endpoint, onde drivers de kernel arriscados ainda podem se tornar habilitadores de execução, mesmo em sistemas reforçados.

Investigação

Ransom-ISAC recriou a intrusão em um laboratório controlado no Windows 11 Pro 24H2 e documentou todas as nove fases. A cadeia começa com uma correção de bypass de UAC que utiliza slui.exe via sequestro de DelegateExecute, seguindo para adulteração assistida por driver por meio de operações IOCTL para enfraquecer defesas e habilitar a criptografia de arquivos. O mesmo comportamento central foi observado em outras pilhas de endpoint, enquanto a plataforma MagicSword interrompeu a atividade bloqueando o driver vulnerável antes que ele pudesse ser carregado. O relatório DFIR também inclui observações de nível de origem e artefatos forenses, datado de 26 de fevereiro de 2026.

Mitigação

A mitigação centra-se na prevenção do carregamento de drivers e na imposição de controle de aplicativos. As medidas recomendadas incluem habilitar o Controle de Aplicativos do Windows Defender (WDAC) ou usar uma lista de bloqueio de drivers vulneráveis de terceiros confiável (por exemplo, MagicSword), impor a regra ASR 56a863a9-875e-4185-98a7-b882c64b5ce5 e ativar a Integridade de Código Protegido por Hipervisor (HVCI). Execute o controle de aplicativo no modo de imposição para bloquear VEN0m.exe e garanta que as regras de negação de drivers incluam explicitamente IMFForceDelete.sys. Mantenha as listas de bloqueio atualizadas e alerte sobre atividades suspeitas de instalação e carregamento de drivers.

Resposta

Se VEN0m for detectado, isole imediatamente o host, termine o processo VEN0m.exe e remova o IMFForceDelete.sys do disco. Recupere os dados criptografados de backups verificados e, em seguida, valide a integridade e configuração das proteções do Windows Defender. Aplique ou aperte o WDAC e a política ASR relevante e complete uma varredura forense completa para artefatos de persistência, como valores WinlogonUserinit alterados e tarefas agendadas suspeitas.

"graph TB %% Definições de classe classDef technique fill:#99ccff %% Definições de nó tech_uac_bypass["Técnica – T1548.002 Abusar do Mecanismo de Controle de Elevação: Ignorar Controle de Conta de Usuário Descrição: Ignorar o UAC para obter privilégios elevados."] class tech_uac_bypass technique tech_code_sign_mod["Técnica – T1553.006 Subverter Controles de Confiança: Modificação da Política de Assinatura de Código Descrição: Modificar a política de assinatura de código para carregar o driver vulnerável IMFForceDelete.sys via CVE-2025-26125."] class tech_code_sign_mod technique tech_impair_def["Técnica – T1562 Prejudicar Defesas Descrição: Excluir arquivos do Windows Defender para desativar defesas de segurança."] class tech_impair_def technique tech_winlogon_helper["Técnica – T1547.004 Execução de Autostart de Boot ou Logon: DLL Auxiliar do Winlogon Descrição: Modificar o valor do registro Userinit para carregar uma DLL maliciosa no logon."] class tech_winlogon_helper technique tech_encrypt["Técnica – T1486 Dados Criptografados para Impacto Descrição: Criptografar arquivos-alvo usando criptografia AESu2011256u2011GCM."] class tech_encrypt technique tech_scheduled_task["Técnica – T1053 Tarefa/Trabalho Agendado Descrição: Criar uma tarefa agendada que exibe periodicamente uma nota de ransomware."] class tech_scheduled_task technique %% Conexões mostrando o fluxo de ataque tech_uac_bypass –>|habilita| tech_code_sign_mod tech_code_sign_mod –>|habilita| tech_impair_def tech_impair_def –>|habilita| tech_winlogon_helper tech_winlogon_helper –>|habilita| tech_encrypt tech_encrypt –>|habilita| tech_scheduled_task "

Fluxo de Ataque

Detecções

Possível Ataque BYOVD – Traga Seu Próprio Driver Vulnerável (via auditoria)

Equipe SOC Prime

06 Abr 2026

Visualizar

Detecção de Enumeração de Arquivos de Ransomware VEN0m e Tarefa Agendada Mascarada [Criação de Processo do Windows]

Regras de IA do SOC Prime

06 Abr 2026

Visualizar

VEN0m Ransomware – Fragmentação de AV/EDR e Detecção de Técnica BYOVD [Evento de Arquivo do Windows]

Regras de IA do SOC Prime

06 Abr 2026

Visualizar

Bypass de UAC e Persistência de Winlogon Detectados [Evento de Registro do Windows]

Regras de IA do SOC Prime

06 Abr 2026

Visualizar

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

Narrativa do Ataque & Comandos:
1. Descoberta: O atacante enumera o sistema para localizar o diretório de instalação do Windows Defender (C:Program FilesWindows Defender).
2. Desativar Defesas (T1562.001): Usando um processo privilegiado, o atacante exclui MsMpEng.dll e binários relacionados ao Defender, fazendo com que o Sysmon emita um Evento de Exclusão de Arquivo (FileDelete) com um nome de arquivo de destino que termina com o caminho do Defender.
3. Implantar Driver Malicioso (T1211, T1548.002, T1569.002): Um arquivo de driver malicioso ven0m.sys é copiado para %AppData%LocalTemp. O atacante registra o driver como um serviço via sc create (bypass de UAC utilizado por meio de uma tarefa agendada). Isso gera um Evento de Criação de Arquivo (FileCreate) para um arquivo com extensão .sys em uma pasta temporária.
4. Persistência (T1053.005): Uma tarefa agendada é criada que executa o carregador de driver na inicialização do sistema, garantindo que o driver seja carregado mesmo após a reinicialização.

Script de Teste de Regressão:

# VEN0m Fragmentação de AV/EDR & Simulação BYOVD
# -------------------------------------------------
# 1. Excluir binários do Windows Defender (simulado com cópias)
$defenderPath = "C:Program FilesWindows Defender"
$dummyDefender = "$defenderPathMsMpEng.dll"
New-Item -Path $dummyDefender -ItemType File -Force | Out-Null
Write-Output "Simulando exclusão de binário do Defender..."
Remove-Item -Path $dummyDefender -Force

# 2. Colocar driver malicioso em um local gravável
$driverSrc = "$env:USERPROFILEDownloadsven0m.sys"
$driverDst = "$env:LOCALAPPDATATempven0m.sys"
# Criar um arquivo de driver de espaço reservado (binário vazio para demonstração)
Set-Content -Path $driverSrc -Value "Conteúdo falso do driver"
Copy-Item -Path $driverSrc -Destination $driverDst -Force
Write-Output "Driver colocado em $driverDst"

# 3. Registrar driver como serviço (requer admin)
$svcName = "Ven0mDrv"
$svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand"
Write-Output "Registrando serviço de driver..."
Invoke-Expression $svcCmd

# 4. Criar uma tarefa agendada para persistência
$action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName"
$trigger = New-ScheduledTaskTrigger -AtStartup
$taskName = "Ven0mPersistence"
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force
Write-Output "Tarefa agendada $taskName criada."
# -------------------------------------------------

Comandos de Limpeza:

# Limpar artefatos da simulação VEN0m
# Parar e excluir o serviço de driver
sc stop Ven0mDrv
sc delete Ven0mDrv

# Remover o arquivo de driver
Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force

# Excluir a tarefa agendada
Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false

# Remover arquivo dummy do Defender (se ainda presente)
$defenderDummy = "C:Program FilesWindows DefenderMsMpEng.dll"
if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force }

# Remover arquivo de origem do driver temporário
Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente