Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
VEN0m ist ein Open-Source-Ransomware-Stamm, der in Rust geschrieben ist und einen bekannten, anfälligen Kernel-Treiber (IMFForceDelete.sys) integriert, um Kernel-Level-Schutzmaßnahmen zu umgehen. Bei Tests verschlüsselte die Malware Dateien, stellte Persistenz her und zeigte eine Lösegeldforderung auf einem vollständig gepatchten Windows 11 Host mit aktiviertem Windows Defender an. Die Ende-zu-Ende-Kette umfasst neun Phasen und hängt vom erfolgreichen Laden des anfälligen Treibers ab. Die wichtigste Abwehrmaßnahme ist einfach: Das Laden des Treibers verhindern, und der Angriff wird unterbrochen. Der Bericht unterstreicht einen wiederkehrenden Blindspot auf Endpunkten, bei dem riskante Kernel-Treiber auch auf gesicherten Systemen zu einem Ausführungsermeck scher werden können.
Untersuchung
Ransom-ISAC rekonstruierte den Einbruch in einem kontrollierten Labor auf Windows 11 Pro 24H2 und dokumentierte alle neun Phasen. Die Kette beginnt mit einem UAC-Bypass, der slui.exe über einen DelegateExecute-Hijack nutzt und dann in treiberunterstützte Manipulationen übergeht, die durch IOCTL-Operationen durchgeführt werden, um die Verteidigung zu schwächen und die Dateiverschlüsselung zu ermöglichen. Das gleiche Kernverhalten wurde in anderen Endpoint-Stacks beobachtet, während die MagicSword-Plattform die Aktivität durch Blockieren des anfälligen Treibers unterbrach, bevor er geladen werden konnte. Der DFIR-Bericht umfasst auch Quell-Level-Beobachtungen und forensische Artefakte und ist auf den 26. Februar 2026 datiert.
Minderung
Die Minderung konzentriert sich auf die Verhinderung des Ladens von Treibern und die Durchsetzung der Anwendungskontrolle. Empfohlene Maßnahmen umfassen die Aktivierung von Windows Defender Application Control (WDAC) oder die Verwendung einer vertrauenswürdigen Blockliste für anfällige Treiber (zum Beispiel MagicSword), die Durchsetzung der ASR-Regel 56a863a9-875e-4185-98a7-b882c64b5ce5 und das Einschalten der Hypervisor-geschützten Code-Integrität (HVCI). Führen Sie die Anwendungskontrolle im Erzwingungsmodus aus, um VEN0m.exe zu blockieren, und stellen Sie sicher, dass Treiberverweigerungsregeln ausdrücklich IMFForceDelete.sys beinhalten. Halten Sie Blocklisten auf dem neuesten Stand und alarmieren Sie bei verdächtigen Treiber-Installations- und Treiber-Ladevorgängen.
Reaktion
Wenn VEN0m erkannt wird, isolieren Sie sofort den Host, beenden Sie VEN0m.exe und entfernen Sie IMFForceDelete.sys von der Festplatte. Stellen Sie verschlüsselte Daten aus überprüften Backups wieder her und validieren Sie die Integrität und Konfiguration der Windows Defender-Schutzmaßnahmen. Anwenden oder verstärken Sie WDAC und die relevante ASR-Richtlinie und führen Sie eine vollständige forensische Überprüfung auf Persistenzartefakte wie geänderte WinlogonUserinit-Werte und verdächtige geplante Aufgaben durch.
"graph TB %% Class definitions classDef technique fill:#99ccff %% Node definitions tech_uac_bypass["<b>Technik</b> – <b>T1548.002 Missbrauch der Höhenkontrollmechanismen: Benutzerkontensteuerung umgehen</b><br/><b>Beschreibung</b>: Umgehen Sie UAC, um erhöhte Privilegien zu erhalten."] class tech_uac_bypass technique tech_code_sign_mod["<b>Technik</b> – <b>T1553.006 Untergraben der Vertrauenssteuerungen: Modifizierung der Code Signierungsrichtlinie</b><br/><b>Beschreibung</b>: Modifizieren der Code-Signierungsrichtlinie, um den anfälligen Treiber IMFForceDelete.sys über CVE-2025-26125 zu laden."] class tech_code_sign_mod technique tech_impair_def["<b>Technik</b> – <b>T1562 Beeinträchtigen der Abwehr</b><br/><b>Beschreibung</b>: Löschen der Windows Defender Dateien, um Sicherheitsverteidigungen zu deaktivieren."] class tech_impair_def technique tech_winlogon_helper["<b>Technik</b> – <b>T1547.004 Autostart-Ausführung beim Booten oder Anmelden: Winlogon-Hilfs-DLL</b><br/><b>Beschreibung</b>: Modifizieren des Userinit-Registrierungswertes, um beim Anmelden eine bösartige DLL zu laden."] class tech_winlogon_helper technique tech_encrypt["<b>Technik</b> – <b>T1486 Datenverschlüsselung zur Beeinflussung</b><br/><b>Beschreibung</b>: Verschlüsseln von Zieldateien unter Einsatz der AESu2011256u2011GCM-Verschlüsselung."] class tech_encrypt technique tech_scheduled_task["<b>Technik</b> – <b>T1053 Geplante Aufgabe/Job</b><br/><b>Beschreibung</b>: Erstellen einer geplanten Aufgabe, die periodisch eine Ransomware-Nachricht anzeigt."] class tech_scheduled_task technique %% Connections showing attack flow tech_uac_bypass –>|ermöglicht| tech_code_sign_mod tech_code_sign_mod –>|ermöglicht| tech_impair_def tech_impair_def –>|ermöglicht| tech_winlogon_helper tech_winlogon_helper –>|ermöglicht| tech_encrypt tech_encrypt –>|ermöglicht| tech_scheduled_task "
Angriffsfluss
Erkennungen
Möglicher BYOVD – Bring Your Own Vulnerable Driver Angriff (über Audit)
Anzeigen
Erkennung der VEN0m Ransomware Dateiaufzählung und getarnte geplante Aufgabe [Windows Prozesserstellung]
Anzeigen
VEN0m Ransomware – AV/EDR Zerstörung und BYOVD Technik Erkennung [Windows-Datei Ereignis]
Anzeigen
UAC-Bypass und Winlogon-Persistenz erkannt [Windows Registry Ereignis]
Anzeigen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Basislinien-Prüfflug muss erfolgreich bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zur Auslösung der Erkennungsregel dient. Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennung erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Entdeckung: Der Angreifer führt eine Systemaufzählung durch, um das Installationsverzeichnis von Windows Defender zu finden (
C:ProgrammeWindows Defender). - Verteidigung deaktivieren (T1562.001): Der Angreifer löscht mit einem privilegierten Prozess
MsMpEng.dllund zugehörige Defender-Binaries, wodurch Sysmon ein FileDelete Ereignis mit einem Zieldateinamen erzeugt, das mit dem Defender-Pfad endet. - Schädlichen Treiber bereitstellen (T1211, T1548.002, T1569.002): Eine schädliche Treiberdatei
ven0m.syswird nach%AppData%LocalTempkopiert. Der Angreifer registriert den Treiber als Dienst übersc create(UAC-Bypass durch eine geplante Aufgabe ausgenutzt). Dies erzeugt ein FileCreate Ereignis für eine.sysDatei in einem temporären Ordner. - Persistenz (T1053.005): Eine geplante Aufgabe wird erstellt, die den Treiberladen bei Systemstart ausführt und sicherstellt, dass der Treiber auch nach einem Neustart geladen wird.
- Entdeckung: Der Angreifer führt eine Systemaufzählung durch, um das Installationsverzeichnis von Windows Defender zu finden (
-
Regressionstests-Skript:
# VEN0m AV/EDR Zerstörung & BYOVD Simulation # ------------------------------------------------- # 1. Löschen von Windows Defender Binaries (simuliert mit Kopien) $defenderPath = "C:ProgrammeWindows Defender" $dummyDefender = "$defenderPathMsMpEng.dll" New-Item -Path $dummyDefender -ItemType File -Force | Out-Null Write-Output "Simulierung der Defender-Binärdatei Löschung..." Remove-Item -Path $dummyDefender -Force # 2. Drop schädlichen Treiber in einen beschreibbaren Ort $driverSrc = "$env:USERPROFILEDownloadsven0m.sys" $driverDst = "$env:LOCALAPPDATATempven0m.sys" # Erstellen Sie eine Platzhalter-Treiberdatei (leere Binärdatei für Demo) Set-Content -Path $driverSrc -Value "Falscher Inhalt des Treibers" Copy-Item -Path $driverSrc -Destination $driverDst -Force Write-Output "Treiber zu $driverDst abgeworfen" # 3. Registrieren Sie den Treiber als Dienst (erfordert Admin) $svcName = "Ven0mDrv" $svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand" Write-Output "Registrieren des Treiberdienstes..." Invoke-Expression $svcCmd # 4. Erstellen einer geplanten Aufgabe für Persistenz $action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName" $trigger = New-ScheduledTaskTrigger -AtStartup $taskName = "Ven0mPersistence" Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force Write-Output "Geplante Aufgabe $taskName erstellt." # ------------------------------------------------- -
Bereinigungsbefehle:
# VEN0m Simulationsartefakte bereinigen # Treiberdienst stoppen und löschen sc stop Ven0mDrv sc delete Ven0mDrv # Entfernen Sie die Treiberdatei Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force # Löschen Sie die geplante Aufgabe Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false # Entfernen Sie die Dummy-Defender-Datei (falls noch vorhanden) $defenderDummy = "C:ProgrammeWindows DefenderMsMpEng.dll" if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force } # Entfernen Sie die temporäre Treiber-Quelldatei Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force