Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
VEN0m – це відкритий варіант програм-вимагачів, написаний на Rust, який включає відомий уразливий драйвер ядра (IMFForceDelete.sys) для обходу засобів захисту рівня ядра. Під час тестування, шкідливе програмне забезпечення шифрувало файли, встановлювало стійкість і відображало записку про викуп на оновленій Windows 11 з включеним Windows Defender. Ланцюжок від початку до кінця охоплює дев’ять етапів і залежить від успішного завантаження вразливого драйвера. Ключовий висновок: якщо зупинити завантаження драйвера, атака злампється. Звіт підкреслює повторювану сліпу точку кінцевого пункту, де ризиковані драйвери ядра все ще можуть стати засобами виконання навіть на захищених системах.
Розслідування
Ransom-ISAC відтворив вторгнення в контрольованій лабораторії на Windows 11 Pro 24H2 і задокументував всі дев’ять фаз. Ланцюжок починається з обходу UAC, що використовує slui.exe через перехоплення DelegateExecute, а потім переходить у втручання за допомогою драйвера через операції IOCTL для ослаблення захисту і дозволу шифрування файлів. Така ж базова поведінка спостерігалася на інших кінцевих стекових пунктах, тоді як платформа MagicSword припинила активність, заблокувавши вразливий драйвер, перш ніж він міг бути завантажений. Звіт DFIR також включає спостереження на рівні вихідного коду та судові артефакти, датовані 26 лютого 2026 року.
Пом’якшення
Пом’якшення орієнтується на запобігання завантаженню драйвера та забезпечення контролю застосунків. Рекомендовані заходи включають увімкнення контролю застосунків Windows Defender (WDAC) або використання довіреного списку блокування уразливих драйверів (наприклад, MagicSword), застосування правила ASR 56a863a9-875e-4185-98a7-b882c64b5ce5 і увімкнення захисту інтегритету коду захищеного гіпервізорем (HVCI). Запустіть контроль застосунків в режимі примусу для блокування VEN0m.exe, і переконайтесь, що правила відмови драйвера явно включають IMFForceDelete.sys. Тримайте списки блокування в актуальному стані і повідомляйте про підозрілу активність встановлення та завантаження драйверів.
Відповідь
Якщо виявлено VEN0m, негайно ізолюйте хост, зупиніть VEN0m.exe та видаліть IMFForceDelete.sys з диска. Відновіть зашифровані дані з перевірених резервних копій, потім перевірте цілісність і конфігурацію захисту Windows Defender. Застосуйте або посильте WDAC і відповідну політику ASR та проведіть повне судове сканування на виявлення артефактів стійкості, таких як змінені значення WinlogonUserinit і підозрілі заплановані завдання.
"graph TB %% Class definitions classDef technique fill:#99ccff %% Node definitions tech_uac_bypass["<b>Техніка</b> – <b>T1548.002 Зловживання механізмом контролю ескалації привілеїв: Обхід контролю облікового запису користувача</b><br/><b>Опис</b>: Обійти UAC, щоб отримати підвищені привілеї."] class tech_uac_bypass technique tech_code_sign_mod["<b>Техніка</b> – <b>T1553.006 Підрив контролю довіри: Модифікація політики підписання коду</b><br/><b>Опис</b>: Модифікуйте політику підписання коду, щоб завантажити вразливий драйвер IMFForceDelete.sys через CVE-2025-26125."] class tech_code_sign_mod technique tech_impair_def["<b>Техніка</b> – <b>T1562 Ослаблення захисту</b><br/><b>Опис</b>: Видаліть файли Windows Defender, щоб вимкнути засоби безпеки."] class tech_impair_def technique tech_winlogon_helper["<b>Техніка</b> – <b>T1547.004 Виконання автозапуску під час завантаження або входу в систему: Допоміжний файл DLL Winlogon</b><br/><b>Опис</b>: Змініть значення реєстру Userinit, щоб завантажити шкідливий DLL під час входу."] class tech_winlogon_helper technique tech_encrypt["<b>Техніка</b> – <b>T1486 Шифрування даних для впливу</b><br/><b>Опис</b>: За допомогою шифрування AESu2011256u2011GCM зашифруйте цільові файли."] class tech_encrypt technique tech_scheduled_task["<b>Техніка</b> – <b>T1053 Заплановане завдання / робота</b><br/><b>Опис</b>: Створіть заплановане завдання, яке періодично відображає записку про викуп."] class tech_scheduled_task technique %% Зв’язки, що показують хід атаки tech_uac_bypass –>|активує| tech_code_sign_mod tech_code_sign_mod –>|активує| tech_impair_def tech_impair_def –>|активує| tech_winlogon_helper tech_winlogon_helper –>|активує| tech_encrypt tech_encrypt –>|активує| tech_scheduled_task "
Хід атаки
Виявлення
Можлива атака BYOVD – Принесіть свій уразливий драйвер (через аудит)
Переглянути
Виявлення перерахування файлів VEN0m і замаскованого запланованого завдання [Створення процесу Windows]
Переглянути
VEN0m Ransomware – Виявлення техніки знищення AV/EDR і BYOVD [Захід файлу Windows]
Переглянути
Виявлено обхід UAC і стійкість Winlogon [Захід реєстру Windows]
Переглянути
Виконання симуляції
Передумова: Телеметрія та перевірка перед польотом бази даних повинні бути пройдені.
Обґрунтування: У цьому розділі детально описується точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та спрямовані на створення точної телеметрії, яка очікується за логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Хід атаки і команди:
- Відкриття: Нападник перераховує систему для знаходження директорії установки Windows Defender (
C:Program FilesWindows Defender). - Відключення захисту (T1562.001): За допомогою привілейованого процесу зловмисник видаляє
MsMpEng.dllта пов’язані з нею бінарники Defender, в результаті чого Sysmon випромінює подію FileDelete з назвою цільового файлу, що закінчується шляхом Defender. - Розгорнути шкідливий драйвер (T1211, T1548.002, T1569.002): Шкідливий файл драйвера
ven0m.sysкопіюється в%AppData%LocalTemp. Зловмисник реєструє драйвер як службу черезsc create(обхід UAC, реалізований через заплановане завдання). Це викликає подію FileCreate для файлу.sysу тимчасовій папці. - Стійкість (T1053.005): Створюється заплановане завдання, яке запускає завантажувач драйверів при запуску системи, забезпечуючи завантаження драйвера навіть після перезавантаження.
- Відкриття: Нападник перераховує систему для знаходження директорії установки Windows Defender (
-
Сценарій регресійного тесту:
# VEN0m AV/EDR Шредери & Симуляція BYOVD # ------------------------------------------------- # 1. Видалення бінарників Windows Defender (симулюється копіями) $defenderPath = "C:Program FilesWindows Defender" $dummyDefender = "$defenderPathMsMpEng.dll" New-Item -Path $dummyDefender -ItemType File -Force | Out-Null Write-Output "Симуляція видалення бінарника Defender..." Remove-Item -Path $dummyDefender -Force # 2. Підкидання шкідливого драйвера у доступне для запису місце $driverSrc = "$env:USERPROFILEDownloadsven0m.sys" $driverDst = "$env:LOCALAPPDATATempven0m.sys" # Створення резервного файлу драйвера (порожня бінарність для демонстрації) Set-Content -Path $driverSrc -Value "Fake driver content" Copy-Item -Path $driverSrc -Destination $driverDst -Force Write-Output "Драйвер підкинуто в $driverDst" # 3. Реєстрація драйвера як служби (потрібен адміністратор) $svcName = "Ven0mDrv" $svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand" Write-Output "Реєстрація служби драйвера..." Invoke-Expression $svcCmd # 4. Створення запланованого завдання для стійкості $action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName" $trigger = New-ScheduledTaskTrigger -AtStartup $taskName = "Ven0mPersistence" Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force Write-Output "Заплановане завдання $taskName створено." # ------------------------------------------------- -
Команди для очищення:
# Очищення артефактів симуляції VEN0m # Зупиніть та видаліть службу драйвера sc stop Ven0mDrv sc delete Ven0mDrv # Видалити файл драйвера Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force # Видалити заплановане завдання Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false # Видалити резервний файл Defender (якщо ще присутній) $defenderDummy = "C:Program FilesWindows DefenderMsMpEng.dll" if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force } # Видалити тимчасовий джерельний файл драйвера Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force