Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
VEN0m é uma cepa de ransomware de código aberto escrita em Rust que inclui um driver do kernel conhecido por ser vulnerável (IMFForceDelete.sys) para contornar proteções de nível kernel. Nos testes, o malware criptografou arquivos, estabeleceu persistência e exibiu uma nota de resgate em um host Windows 11 totalmente atualizado com o Windows Defender ativado. A cadeia ponta a ponta abrange nove estágios e depende do carregamento bem-sucedido do driver vulnerável. A principal conclusão defensiva é simples: impeça o carregamento do driver e o ataque rompe. O relatório ressalta um ponto cego recorrente no endpoint, onde drivers de kernel arriscados ainda podem se tornar habilitadores de execução, mesmo em sistemas reforçados.
Investigação
Ransom-ISAC recriou a intrusão em um laboratório controlado no Windows 11 Pro 24H2 e documentou todas as nove fases. A cadeia começa com uma correção de bypass de UAC que utiliza slui.exe via sequestro de DelegateExecute, seguindo para adulteração assistida por driver por meio de operações IOCTL para enfraquecer defesas e habilitar a criptografia de arquivos. O mesmo comportamento central foi observado em outras pilhas de endpoint, enquanto a plataforma MagicSword interrompeu a atividade bloqueando o driver vulnerável antes que ele pudesse ser carregado. O relatório DFIR também inclui observações de nível de origem e artefatos forenses, datado de 26 de fevereiro de 2026.
Mitigação
A mitigação centra-se na prevenção do carregamento de drivers e na imposição de controle de aplicativos. As medidas recomendadas incluem habilitar o Controle de Aplicativos do Windows Defender (WDAC) ou usar uma lista de bloqueio de drivers vulneráveis de terceiros confiável (por exemplo, MagicSword), impor a regra ASR 56a863a9-875e-4185-98a7-b882c64b5ce5 e ativar a Integridade de Código Protegido por Hipervisor (HVCI). Execute o controle de aplicativo no modo de imposição para bloquear VEN0m.exe e garanta que as regras de negação de drivers incluam explicitamente IMFForceDelete.sys. Mantenha as listas de bloqueio atualizadas e alerte sobre atividades suspeitas de instalação e carregamento de drivers.
Resposta
Se VEN0m for detectado, isole imediatamente o host, termine o processo VEN0m.exe e remova o IMFForceDelete.sys do disco. Recupere os dados criptografados de backups verificados e, em seguida, valide a integridade e configuração das proteções do Windows Defender. Aplique ou aperte o WDAC e a política ASR relevante e complete uma varredura forense completa para artefatos de persistência, como valores WinlogonUserinit alterados e tarefas agendadas suspeitas.
"graph TB %% Definições de classe classDef technique fill:#99ccff %% Definições de nó tech_uac_bypass["<b>Técnica</b> – <b>T1548.002 Abusar do Mecanismo de Controle de Elevação: Ignorar Controle de Conta de Usuário</b><br/><b>Descrição</b>: Ignorar o UAC para obter privilégios elevados."] class tech_uac_bypass technique tech_code_sign_mod["<b>Técnica</b> – <b>T1553.006 Subverter Controles de Confiança: Modificação da Política de Assinatura de Código</b><br/><b>Descrição</b>: Modificar a política de assinatura de código para carregar o driver vulnerável IMFForceDelete.sys via CVE-2025-26125."] class tech_code_sign_mod technique tech_impair_def["<b>Técnica</b> – <b>T1562 Prejudicar Defesas</b><br/><b>Descrição</b>: Excluir arquivos do Windows Defender para desativar defesas de segurança."] class tech_impair_def technique tech_winlogon_helper["<b>Técnica</b> – <b>T1547.004 Execução de Autostart de Boot ou Logon: DLL Auxiliar do Winlogon</b><br/><b>Descrição</b>: Modificar o valor do registro Userinit para carregar uma DLL maliciosa no logon."] class tech_winlogon_helper technique tech_encrypt["<b>Técnica</b> – <b>T1486 Dados Criptografados para Impacto</b><br/><b>Descrição</b>: Criptografar arquivos-alvo usando criptografia AESu2011256u2011GCM."] class tech_encrypt technique tech_scheduled_task["<b>Técnica</b> – <b>T1053 Tarefa/Trabalho Agendado</b><br/><b>Descrição</b>: Criar uma tarefa agendada que exibe periodicamente uma nota de ransomware."] class tech_scheduled_task technique %% Conexões mostrando o fluxo de ataque tech_uac_bypass –>|habilita| tech_code_sign_mod tech_code_sign_mod –>|habilita| tech_impair_def tech_impair_def –>|habilita| tech_winlogon_helper tech_winlogon_helper –>|habilita| tech_encrypt tech_encrypt –>|habilita| tech_scheduled_task "
Fluxo de Ataque
Detecções
Possível Ataque BYOVD – Traga Seu Próprio Driver Vulnerável (via auditoria)
Visualizar
Detecção de Enumeração de Arquivos de Ransomware VEN0m e Tarefa Agendada Mascarada [Criação de Processo do Windows]
Visualizar
VEN0m Ransomware – Fragmentação de AV/EDR e Detecção de Técnica BYOVD [Evento de Arquivo do Windows]
Visualizar
Bypass de UAC e Persistência de Winlogon Detectados [Evento de Registro do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
- Descoberta: O atacante enumera o sistema para localizar o diretório de instalação do Windows Defender (
C:Program FilesWindows Defender). - Desativar Defesas (T1562.001): Usando um processo privilegiado, o atacante exclui
MsMpEng.dlle binários relacionados ao Defender, fazendo com que o Sysmon emita um Evento de Exclusão de Arquivo (FileDelete) com um nome de arquivo de destino que termina com o caminho do Defender. - Implantar Driver Malicioso (T1211, T1548.002, T1569.002): Um arquivo de driver malicioso
ven0m.sysé copiado para%AppData%LocalTemp. O atacante registra o driver como um serviço viasc create(bypass de UAC utilizado por meio de uma tarefa agendada). Isso gera um Evento de Criação de Arquivo (FileCreate) para um arquivo com extensão.sysem uma pasta temporária. - Persistência (T1053.005): Uma tarefa agendada é criada que executa o carregador de driver na inicialização do sistema, garantindo que o driver seja carregado mesmo após a reinicialização.
- Descoberta: O atacante enumera o sistema para localizar o diretório de instalação do Windows Defender (
-
Script de Teste de Regressão:
# VEN0m Fragmentação de AV/EDR & Simulação BYOVD # ------------------------------------------------- # 1. Excluir binários do Windows Defender (simulado com cópias) $defenderPath = "C:Program FilesWindows Defender" $dummyDefender = "$defenderPathMsMpEng.dll" New-Item -Path $dummyDefender -ItemType File -Force | Out-Null Write-Output "Simulando exclusão de binário do Defender..." Remove-Item -Path $dummyDefender -Force # 2. Colocar driver malicioso em um local gravável $driverSrc = "$env:USERPROFILEDownloadsven0m.sys" $driverDst = "$env:LOCALAPPDATATempven0m.sys" # Criar um arquivo de driver de espaço reservado (binário vazio para demonstração) Set-Content -Path $driverSrc -Value "Conteúdo falso do driver" Copy-Item -Path $driverSrc -Destination $driverDst -Force Write-Output "Driver colocado em $driverDst" # 3. Registrar driver como serviço (requer admin) $svcName = "Ven0mDrv" $svcCmd = "sc create $svcName binPath= `"$driverDst`" type= kernel start= demand" Write-Output "Registrando serviço de driver..." Invoke-Expression $svcCmd # 4. Criar uma tarefa agendada para persistência $action = New-ScheduledTaskAction -Execute "sc.exe" -Argument "start $svcName" $trigger = New-ScheduledTaskTrigger -AtStartup $taskName = "Ven0mPersistence" Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force Write-Output "Tarefa agendada $taskName criada." # ------------------------------------------------- -
Comandos de Limpeza:
# Limpar artefatos da simulação VEN0m # Parar e excluir o serviço de driver sc stop Ven0mDrv sc delete Ven0mDrv # Remover o arquivo de driver Remove-Item -Path "$env:LOCALAPPDATATempven0m.sys" -Force # Excluir a tarefa agendada Unregister-ScheduledTask -TaskName "Ven0mPersistence" -Confirm:$false # Remover arquivo dummy do Defender (se ainda presente) $defenderDummy = "C:Program FilesWindows DefenderMsMpEng.dll" if (Test-Path $defenderDummy) { Remove-Item -Path $defenderDummy -Force } # Remover arquivo de origem do driver temporário Remove-Item -Path "$env:USERPROFILEDownloadsven0m.sys" -Force