VEN0m Ransomware : le point faible de Windows Defender

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

VEN0m Ransomware : le point faible de Windows Defender

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

VEN0m est une souche de rançongiciel open-source écrite en Rust qui intègre un pilote de noyau vulnérable connu (IMFForceDelete.sys) pour contourner les protections au niveau du noyau. Lors des tests, le malware a chiffré des fichiers, établi une persistance et affiché une note de rançon sur un hôte Windows 11 entièrement mis à jour avec Windows Defender activé. La chaîne de bout en bout comprend neuf étapes et repose sur le chargement réussi du pilote vulnérable. La principale conclusion défensive est simple : empêcher le chargement du pilote, et l’attaque échoue. Le rapport souligne un angle mort récurrent sur les terminaux où les pilotes de noyau à risques peuvent encore devenir un vecteur d’exécution même sur des systèmes renforcés.

Enquête

Ransom-ISAC a recréé l’intrusion dans un laboratoire contrôlé sur Windows 11 Pro 24H2 et a documenté toutes les neuf phases. La chaîne commence par un contournement UAC qui utilise slui.exe via un détournement DelegateExecute, puis passe à une manipulation assistée par un pilote via des opérations IOCTL pour affaiblir les défenses et permettre le chiffrement des fichiers. Le même comportement de base a été observé sur d’autres piles de terminaux, tandis que la plateforme MagicSword a interrompu l’activité en bloquant le pilote vulnérable avant qu’il ne puisse être chargé. Le rapport DFIR inclut également des observations au niveau source et des artefacts forensiques, daté du 26 février 2026.

Atténuation

L’atténuation se concentre sur l’empêchement du chargement des pilotes et l’application du contrôle des applications. Les mesures recommandées incluent l’activation de Windows Defender Application Control (WDAC) ou l’utilisation d’une liste de blocage de pilotes vulnérables tierce de confiance (par exemple, MagicSword), l’application de la règle ASR 56a863a9-875e-4185-98a7-b882c64b5ce5, et l’activation de l’intégrité du code protégée par hyperviseur (HVCI). Exécutez le contrôle des applications en mode d’application pour bloquer VEN0m.exe, et assurez-vous que les règles d’interdiction de pilotes incluent explicitement IMFForceDelete.sys. Maintenez les listes de blocage à jour et alertez sur les activités suspectes d’installation et de chargement de pilotes.

Réponse

Si VEN0m est détecté, isolez immédiatement l’hôte, terminez VEN0m.exe, et supprimez IMFForceDelete.sys du disque. Récupérez les données chiffrées à partir de sauvegardes vérifiées, puis validez l’intégrité et la configuration des protections de Windows Defender. Appliquez ou renforcez le WDAC et la politique ASR pertinente, et effectuez une analyse forensic complète pour les artefacts de persistance tels que les valeurs WinlogonUserinit modifiées et les tâches planifiées suspectes.

"graph TB %% Class definitions classDef technique fill:#99ccff %% Node definitions tech_uac_bypass["Technique – T1548.002 Détournement de Mécanisme de Contrôle de l’Élévation : Contournement du Contrôle de Compte Utilisateur (UAC) Description : Contourner l’UAC pour obtenir des privilèges élevés."] class tech_uac_bypass technique tech_code_sign_mod["Technique – T1553.006 Subvertir les Contrôles de Confiance : Modification de la Politique de Signature de Code Description : Modifier la politique de signature de code pour charger le pilote vulnérable IMFForceDelete.sys via CVE-2025-26125."] class tech_code_sign_mod technique tech_impair_def["Technique – T1562 Altération des Défenses Description : Supprimer les fichiers de Windows Defender pour désactiver les défenses de sécurité."] class tech_impair_def technique tech_winlogon_helper["Technique – T1547.004 Exécution au Démarrage ou à l’Ouverture de Session : DLL d’Aide de Winlogon Description : Modifier la valeur de registre Userinit pour charger une DLL malicieuse à l’ouverture de session."] class tech_winlogon_helper technique tech_encrypt["Technique – T1486 Données Chiffrées pour Impact Description : Chiffrer les fichiers cibles en utilisant le chiffrement AESu2011256u2011GCM."] class tech_encrypt technique tech_scheduled_task["Technique – T1053 Tâche ou Travail Planifié Description : Créer une tâche planifiée qui affiche périodiquement une note de rançon."] class tech_scheduled_task technique %% Connections showing attack flow tech_uac_bypass –>|enables| tech_code_sign_mod tech_code_sign_mod –>|enables| tech_impair_def tech_impair_def –>|enables| tech_winlogon_helper tech_winlogon_helper –>|enables| tech_encrypt tech_encrypt –>|enables| tech_scheduled_task "

Flux d’Attaque

Détections

Attaque possible BYOVD – Apportez votre propre pilote vulnérable (via audit)

Équipe SOC Prime

06 avr. 2026

Voir

Détection de la numération de fichiers du rançongiciel VEN0m et de la tâche planifiée déguisée [Création de Processus Windows]

Règles AI SOC Prime

06 avr. 2026

Voir

VEN0m Ransomware – Déchiquetage AV/EDR et Détection de la Technique BYOVD [Événement de Fichier Windows]

Règles AI SOC Prime

06 avr. 2026

Voir

Contournement UAC et Persistence Winlogon Détectés [Événement de Registre Windows]

Règles AI SOC Prime

06 avr. 2026

Voir

Exécution de Simulation

Prérequis : Le Contrôle de Télémétrie et de Base De Vol doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

Récit de l’Attaque et Commandes :
1. Découverte : L’attaquant énumère le système pour localiser le répertoire d’installation de Windows Defender (C:Program FilesWindows Defender).
2. Désactiver les Défenses (T1562.001) : En utilisant un processus privilégié, l’attaquant supprime MsMpEng.dll et les binaires Defender associés, provoquant l’émission de Sysmon d’un événement FileDelete avec un nom de fichier cible se terminant par le chemin de Defender.
3. Déployer le Pilote Malicieux (T1211, T1548.002, T1569.002) : Un fichier pilote malicieux ven0m.sys est copié dans %AppData%LocalTemp. L’attaquant enregistre le pilote en tant que service via sc create (contournement UAC via une tâche planifiée). Cela génère un événement FileCreate pour un fichier .sys sous un dossier temporaire.
4. Persistance (T1053.005) : Une tâche planifiée est créée qui exécute le chargeur de pilote au démarrage du système, garantissant que le pilote est chargé même après un redémarrage.

Script de Test de Régression :

# Simulation de Déchiquetage AV/EDR VEN0m & BYOVD
# -------------------------------------------------
# 1. Supprimer les binaires Windows Defender (simulé avec des copies)
$defenderPath = "C:Program FilesWindows Defender"
$dummyDefender = "$defenderPathMsMpEng.dll"
New-Item -Path $dummyDefender -ItemType File -Force | Out-Null
Write-Output "Simulation de la suppression des binaires Defender..." 
Remove-Item -Path $dummyDefender -Force

# 2. Déposer un pilote malicieux dans un emplacement accessible
$driverSrc = "$env:USERPROFILEDownloadsven0m.sys"
$driverDst = "$env:LOCALAPPDATATempven0m.sys"
# Créer un fichier pilote de remplacement (binaire vide pour démo)
Set-Content -Path $driverSrc -Value "Contenu faux du pilote"
Copy-Item -Path $driverSrc -Destination $driverDst -Force
Write-Output "Pilote déposé à $driverDst"

# 3. Enregistrer le pilote en tant que service (nécessite admin)
$svcName = "Ven0mDrv"
$svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand"
Write-Output "Enregistrement du service du pilote..."
Invoke-Expression $svcCmd

# 4. Créer une tâche planifiée pour la persistance
$action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName"
$trigger = New-ScheduledTaskTrigger -AtStartup
$taskName = "Ven0mPersistence"
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force
Write-Output "Tâche planifiée $taskName créée."
# -------------------------------------------------

Commandes de Nettoyage :

# Nettoyage des artefacts de simulation VEN0m
# Arrêter et supprimer le service du pilote
sc stop Ven0mDrv
sc delete Ven0mDrv

# Supprimer le fichier du pilote
Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force

# Supprimer la tâche planifiée
Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false

# Supprimer le fichier Defender fictif (s'il est encore présent)
$defenderDummy = "C:Program FilesWindows DefenderMsMpEng.dll"
if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force }

# Supprimer le fichier source temporaire du pilote
Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement