Ransomware VEN0m: el punto débil de Windows Defender

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Ransomware VEN0m: el punto débil de Windows Defender

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

VEN0m es una cepa de ransomware de código abierto escrita en Rust que incluye un controlador de kernel conocido por ser vulnerable (IMFForceDelete.sys) para eludir salvaguardias a nivel de kernel. En las pruebas, el malware cifró archivos, estableció persistencia y mostró una nota de rescate en un host de Windows 11 completamente parcheado con Windows Defender habilitado. La cadena de ataque end-to-end abarca nueve etapas y depende de cargar con éxito el controlador vulnerable. La principal conclusión defensiva es sencilla: detenga la carga del controlador y el ataque se desmorona. El informe destaca un punto ciego recurrente en el endpoint donde los controladores de kernel riesgosos todavía pueden convertirse en habilitadores de ejecución incluso en sistemas endurecidos.

Investigación

Ransom-ISAC recreó la intrusión en un laboratorio controlado en Windows 11 Pro 24H2 y documentó todas las nueve fases. La cadena comienza con un bypass de UAC que aprovecha slui.exe a través de un secuestro de DelegateExecute, luego se transforma en una manipulación asistida por controlador a través de operaciones IOCTL para debilitar defensas y habilitar el cifrado de archivos. Se observó el mismo comportamiento central en otras pilas de endpoint, mientras que la plataforma MagicSword interrumpió la actividad al bloquear el controlador vulnerable antes de que pudiera cargarse. El informe DFIR también incluye observaciones a nivel de código fuente y artefactos forenses, y está fechado el 26 de febrero de 2026.

Mitigación

La mitigación se centra en prevenir la carga de controladores y aplicar control de aplicaciones. Las medidas recomendadas incluyen habilitar el Control de Aplicaciones de Windows Defender (WDAC) o usar una lista de bloqueo de controladores vulnerables de terceros confiables (por ejemplo, MagicSword), aplicar la regla ASR 56a863a9-875e-4185-98a7-b882c64b5ce5, y activar la Integridad del Código Protegida por Hypervisor (HVCI). Ejecute el control de aplicaciones en modo de aplicación para bloquear VEN0m.exe, y asegúrese de que las reglas de negación del controlador incluyan explícitamente IMFForceDelete.sys. Mantenga listas de bloqueo actualizadas y alerte sobre actividades sospechosas de instalación y carga de controladores.

Respuesta

Si se detecta VEN0m, aísle inmediatamente el host, termine VEN0m.exe, y elimine IMFForceDelete.sys del disco. Recupere los datos cifrados de copias de seguridad verificadas, luego valide la integridad y configuración de las protecciones de Windows Defender. Aplique o fortalezca WDAC y la política de ASR relevante, y complete un barrido forense completo para encontrar artefactos de persistencia tales como valores alterados de WinlogonUserinit y tareas programadas sospechosas.

"graph TB %% Definiciones de clase classDef technique fill:#99ccff %% Definiciones de nodo tech_uac_bypass["Técnica – T1548.002 Abuso del Mecanismo de Control de Elevación: Omitir el Control de Cuentas de Usuario Descripción: Omitir UAC para obtener privilegios elevados."] class tech_uac_bypass technique tech_code_sign_mod["Técnica – T1553.006 Subversión de Controles de Confianza: Modificación de Política de Firma de Código Descripción: Modificar la política de firma de código para cargar el controlador vulnerable IMFForceDelete.sys vía CVE-2025-26125."] class tech_code_sign_mod technique tech_impair_def["Técnica – T1562 Debilitar Defensas Descripción: Eliminar archivos de Windows Defender para deshabilitar defensas de seguridad."] class tech_impair_def technique tech_winlogon_helper["Técnica – T1547.004 Ejecución de Autoinicio al Arranque o Inicio de Sesión: DLL de Ayuda de Winlogon Descripción: Modificar el valor de registro Userinit para cargar una DLL maliciosa al iniciar sesión."] class tech_winlogon_helper technique tech_encrypt["Técnica – T1486 Datos Cifrados para Impacto Descripción: Cifrar archivos objetivo usando cifrado AESu2011256u2011GCM."] class tech_encrypt technique tech_scheduled_task["Técnica – T1053 Tarea/Trabajo Programado Descripción: Crear una tarea programada que muestre periódicamente una nota de ransomware."] class tech_scheduled_task technique %% Conexiones que muestran el flujo de ataque tech_uac_bypass –>|habilita| tech_code_sign_mod tech_code_sign_mod –>|habilita| tech_impair_def tech_impair_def –>|habilita| tech_winlogon_helper tech_winlogon_helper –>|habilita| tech_encrypt tech_encrypt –>|habilita| tech_scheduled_task "

Flujo de Ataque

Detecciones

Posible BYOVD – Ataque Trae tu Propio Controlador Vulnerable (vía auditoría)

Equipo SOC Prime

06 Abr 2026

Ver

Detección de Enumeración de Archivos de Ransomware VEN0m y Tarea Programada Falsificada [Creación de Proceso de Windows]

Reglas de IA de SOC Prime

06 Abr 2026

Ver

Ransomware VEN0m – Destrucción de AV/EDR y Detección de Técnica BYOVD [Evento de Archivo de Windows]

Reglas de IA de SOC Prime

06 Abr 2026

Ver

Se Detectó Bypass de UAC y Persistencia de Winlogon [Evento de Registro de Windows]

Reglas de IA de SOC Prime

06 Abr 2026

Ver

Ejecución de Simulación

Prerequisito: La Pre-verificación de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

Narrativa del Ataque y Comandos:
1. Descubrimiento: El atacante enumera el sistema para localizar el directorio de instalación de Windows Defender (C:Program FilesWindows Defender).
2. Desactivar Defensas (T1562.001): Usando un proceso privilegiado, el atacante elimina MsMpEng.dll y binarios relacionados de Defender, provocando que Sysmon emita un evento FileDelete con un nombre de archivo de destino que termina con la ruta de Defender.
3. Desplegar Controlador Malicioso (T1211, T1548.002, T1569.002): Un archivo de controlador malicioso ven0m.sys se copia a %AppData%LocalTemp. El atacante registra el controlador como un servicio vía sc create (bypass de UAC aprovechado a través de una tarea programada). Esto genera un evento FileCreate para un archivo .sys bajo una carpeta temporal.
4. Persistencia (T1053.005): Se crea una tarea programada que ejecuta el cargador del controlador al inicio del sistema, asegurando que el controlador sea cargado incluso después de reiniciar.

Script de Prueba de Regresión:

# Destrucción de AV/EDR VEN0m & Simulación BYOVD
# -------------------------------------------------
# 1. Eliminar binarios de Windows Defender (simulado con copias)
$defenderPath = "C:Program FilesWindows Defender"
$dummyDefender = "$defenderPathMsMpEng.dll"
New-Item -Path $dummyDefender -ItemType File -Force | Out-Null
Write-Output "Simulando eliminación de binarios de Defender..." 
Remove-Item -Path $dummyDefender -Force

# 2. Soltar controlador malicioso en una ubicación escribible
$driverSrc = "$env:USERPROFILEDownloadsven0m.sys"
$driverDst = "$env:LOCALAPPDATATempven0m.sys"
# Crear un archivo de controlador de marcador de posición (binario vacío para demostración)
Set-Content -Path $driverSrc -Value "Contenido falso del controlador"
Copy-Item -Path $driverSrc -Destination $driverDst -Force
Write-Output "Controlador soltado en $driverDst"

# 3. Registrar controlador como un servicio (requiere admin)
$svcName = "Ven0mDrv"
$svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand"
Write-Output "Registrando el servicio del controlador..."
Invoke-Expression $svcCmd

# 4. Crear una tarea programada para persistencia
$action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName"
$trigger = New-ScheduledTaskTrigger -AtStartup
$taskName = "Ven0mPersistence"
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force
Write-Output "Tarea programada $taskName creada."
# -------------------------------------------------

Comandos de Limpieza:

# Limpiar los artefactos de simulación de VEN0m
# Detener y eliminar el servicio del controlador
sc stop Ven0mDrv
sc delete Ven0mDrv

# Eliminar el archivo del controlador
Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force

# Eliminar la tarea programada
Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false

# Eliminar archivo de Defender falso (si aún está presente)
$defenderDummy = "C:Program FilesWindows DefenderMsMpEng.dll"
if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force }

# Eliminar archivo de origen del controlador temporal
Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis