VEN0m Ransomware: il punto debole di Windows Defender

Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime

Segui

VEN0m Ransomware: il punto debole di Windows Defender

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

VEN0m è una variante di ransomware open-source scritta in Rust che include un driver kernel vulnerabile conosciuto (IMFForceDelete.sys) per aggirare le protezioni a livello di kernel. Nei test, il malware ha criptato file, stabilito la persistenza e mostrato una nota di riscatto su un host Windows 11 completamente aggiornato con Windows Defender attivato. La catena end-to-end si estende su nove fasi e si basa sul caricamento con successo del driver vulnerabile. La chiave difensiva è semplice: impedire il caricamento del driver e l’attacco si interrompe. Il rapporto sottolinea un ricorrente punto cieco degli endpoint in cui driver del kernel rischiosi possono ancora diventare un fattore abilitante dell’esecuzione anche su sistemi rinforzati.

Investigazione

Ransom-ISAC ha ricreato l’intrusione in un laboratorio controllato su Windows 11 Pro 24H2 e ha documentato tutte le nove fasi. La catena inizia con un bypass UAC che sfrutta slui.exe tramite un hijack DelegateExecute, per poi passare a un’alterazione assistita da driver tramite operazioni IOCTL per indebolire le difese e consentire la crittografia dei file. Lo stesso comportamento di base è stato osservato su altri stack endpoint, mentre la piattaforma MagicSword ha interrotto l’attività bloccando il driver vulnerabile prima che potesse essere caricato. Il rapporto DFIR include anche osservazioni a livello di sorgente e artefatti forensi, ed è datato 26 febbraio 2026.

Mitigazione

La mitigazione si concentra sul prevenire il caricamento del driver e l’implementazione del controllo delle applicazioni. Le misure raccomandate includono l’attivazione di Windows Defender Application Control (WDAC) o l’utilizzo di una lista di blocco di driver vulnerabili di terze parti affidabili (ad esempio, MagicSword), l’applicazione della regola ASR 56a863a9-875e-4185-98a7-b882c64b5ce5, e l’attivazione di Hypervisor-Protected Code Integrity (HVCI). Esegui il controllo delle applicazioni in modalità coercitiva per bloccare VEN0m.exe e assicurati che le regole di negazione dei driver includano esplicitamente IMFForceDelete.sys. Mantieni le liste di blocco aggiornate e avvisa su attività sospette di installazione e caricamento driver.

Risposta

Se VEN0m viene rilevato, isola immediatamente l’host, termina VEN0m.exe e rimuovi IMFForceDelete.sys dal disco. Recupera i dati criptati da backup verificati, quindi verifica l’integrità e la configurazione delle protezioni di Windows Defender. Applica o stringi WDAC e la politica ASR rilevante, e completa una scansione forense completa per artefatti di persistenza come valori alterati di WinlogonUserinit e attività programmate sospette.

"graph TB %% Class definitions classDef technique fill:#99ccff %% Node definitions tech_uac_bypass["Tecnica – T1548.002 Sfrutta il Meccanismo di Controllo dell’Elevazione: Bypass del Controllo dell’Account Utente Descrizione: Bypass UAC per ottenere privilegi elevati."] class tech_uac_bypass technique tech_code_sign_mod["Tecnica – T1553.006 Sovverti i Controlli di Fiducia: Modifica della Politica di Firma del Codice Descrizione: Modifica la politica di firma del codice per caricare il driver vulnerabile IMFForceDelete.sys tramite CVE-2025-26125."] class tech_code_sign_mod technique tech_impair_def["Tecnica – T1562 Indebolisce le Difese Descrizione: Elimina i file di Windows Defender per disabilitare le difese di sicurezza."] class tech_impair_def technique tech_winlogon_helper["Tecnica – T1547.004 Esecuzione di Avvio o Accesso Automatico: Winlogon Helper DLL Descrizione: Modifica il valore del registro Userinit per caricare una DLL dannosa al logon."] class tech_winlogon_helper technique tech_encrypt["Tecnica – T1486 Dati Cifrati per Impatto Descrizione: Cifra i file di destinazione utilizzando la crittografia AESu2011256u2011GCM."] class tech_encrypt technique tech_scheduled_task["Tecnica – T1053 Attività/Processo Pianificato Descrizione: Crea un’attività pianificata che visualizza periodicamente una nota di ransomware."] class tech_scheduled_task technique %% Connections showing attack flow tech_uac_bypass –>|abilita| tech_code_sign_mod tech_code_sign_mod –>|abilita| tech_impair_def tech_impair_def –>|abilita| tech_winlogon_helper tech_winlogon_helper –>|abilita| tech_encrypt tech_encrypt –>|abilita| tech_scheduled_task "

Flusso d’Attacco

Rilevamenti

Possibile Attacco BYOVD – Porta il Tuo Driver Vulnerabile (via audit)

Team SOC Prime

06 Apr 2026

Visualizza

Rilevamento del Ransomware VEN0m Elenco File e Attività Pianificata Mascherata [Creazione Processo Windows]

Regole AI SOC Prime

06 Apr 2026

Visualizza

Ransomware VEN0m – Frantumazione AV/EDR e Rilevamento della Tecnica BYOVD [Evento File Windows]

Regole AI SOC Prime

06 Apr 2026

Visualizza

Bypass UAC e Persistenza Winlogon Rilevati [Evento Registro Windows]

Regole AI SOC Prime

06 Apr 2026

Visualizza

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Base deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per innestare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

Narrativa & Comandi dell’Attacco:
1. Scoperta: L’attaccante enumera il sistema per localizzare la directory di installazione di Windows Defender (C:ProgrammiWindows Defender).
2. Disabilita Difese (T1562.001): Utilizzando un processo con privilegi, l’attaccante elimina MsMpEng.dll e i binari di Defender correlati, causando l’emissione di Sysmon di un FileDelete evento con un nome di file di destinazione che termina con il percorso di Defender.
3. Distribuisci Driver Dannoso (T1211, T1548.002, T1569.002): Un file driver dannoso ven0m.sys è copiato in %AppData%LocalTemp. L’attaccante registra il driver come servizio tramite sc create (bypass UAC sfruttato tramite un’attività pianificata). Questo genera un FileCreate evento per un .sys file sotto una cartella temporanea.
4. Persistenza (T1053.005): È creata un’attività pianificata che esegue il caricatore del driver all’avvio del sistema, assicurando che il driver venga caricato anche dopo un riavvio.

Script di Test di Regressione:

# Simulazione Frantumazione VEN0m AV/EDR & BYOVD
# -------------------------------------------------
# 1. Elimina i binari di Windows Defender (simulato con copie)
$defenderPath = "C:ProgrammiWindows Defender"
$dummyDefender = "$defenderPathMsMpEng.dll"
New-Item -Path $dummyDefender -ItemType File -Force | Out-Null
Write-Output "Simulazione eliminazione binario del Defender..." 
Remove-Item -Path $dummyDefender -Force

# 2. Rilascia driver dannoso in una posizione scrivibile
$driverSrc = "$env:USERPROFILEDownloadsven0m.sys"
$driverDst = "$env:LOCALAPPDATATempven0m.sys"
# Crea un file driver segnaposto (binario vuoto per demo)
Set-Content -Path $driverSrc -Value "Contenuto driver fake"
Copy-Item -Path $driverSrc -Destination $driverDst -Force
Write-Output "Driver rilasciato in $driverDst"

# 3. Registra driver come servizio (richiede admin)
$svcName = "Ven0mDrv"
$svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand"
Write-Output "Registrazione servizio driver..."
Invoke-Expression $svcCmd

# 4. Crea un'attività pianificata per la persistenza
$action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName"
$trigger = New-ScheduledTaskTrigger -AtStartup
$taskName = "Ven0mPersistence"
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force
Write-Output "Attività pianificata $taskName creata."
# -------------------------------------------------

Comandi di Pulizia:

# Pulizia degli artefatti di simulazione VEN0m
# Ferma ed elimina il servizio driver
sc stop Ven0mDrv
sc delete Ven0mDrv

# Rimuovi il file driver
Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force

# Elimina l'attività pianificata
Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false

# Rimuovi file fittizio del Defender (se ancora presente)
$defenderDummy = "C:ProgrammiWindows DefenderMsMpEng.dll"
if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force }

# Rimuovi file sorgente driver temporaneo
Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis