proc-venon-dll-sideloading

# PROC — VENON: DLL Side-Loading para Evasão e Persistência ## Visão Geral O VENON é um trojan bancário brasileiro desenvolvido em **Rust**, descoberto pela ZenoX em março de 2026. Seu mecanismo de persistência e evasão central é o **DLL side-loading** via `OneDriveStandaloneUpdater.exe` — um executável legítimo e assinado pela Microsoft, usado como hospedeiro para carregar uma DLL maliciosa substituída. A técnica explora o fato de que muitas soluções de segurança confiam implicitamente em executáveis com assinatura digital de vendors conhecidos (Microsoft, Google, Adobe), sem analisar as DLLs que esses executáveis carregam dinâmicamente. ## Técnica MITRE - **Tática:** Defense Evasion / Persistence / Privilege Escalation - **Técnica:** [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - **Técnicas adicionais:** [[t1053-005-scheduled-task|T1053.005]], [[t1562-001-disable-tools|T1562.001]], [[t1055-process-injection|T1055]] ## Diagrama de Sequência — Infecção e Persistência ```mermaid sequenceDiagram participant O as Operador VENON participant V as Vítima (Windows) participant WD as Windows Defender participant OD as OneDriveStandaloneUpdater.exe participant DLL as vcruntime140.dll (Maliciosa) participant C2 as Servidor C2 note over V: Fase 1 — Entrega via Phishing O->>V: Email phishing: "Boleto bancário em atraso" V->>V: Download de ZIP → executa EXE dropper note over V: Fase 2 — Sequência de 9 Técnicas de Evasão V->>WD: Tentativa de detecção → AMSI bypass (patch em memória) V->>V: ETW bypass — desabilita event tracing para processo atual V->>V: Análise de sandbox: sleep 30s + verificação de VM artifacts V->>V: Anti-debug: IsDebuggerPresent + timing checks V->>WD: Desabilita Real-Time Protection via registry (T1562.001) note over V,OD: Fase 3 — DLL Side-Loading V->>V: Copia OneDriveStandaloneUpdater.exe para %APPDATA%\Microsoft\OneDrive\ V->>V: Cria vcruntime140.dll maliciosa no mesmo diretório OD->>DLL: LoadLibrary("vcruntime140.dll") — carrega DLL maliciosa DLL->>V: VENON payload inicializado dentro do processo OneDrive (assinado MS) note over V,C2: Fase 4 — Atividade Maliciosa DLL->>C2: Beacon inicial — informa bancos detectados (33 alvos) V->>V: Usuário abre internet banking → VENON detecta jánela DLL->>V: Projeta overlay de captura de credenciais DLL->>C2: Credenciais exfiltradas em tempo real note over V: Fase 5 — Persistência V->>V: Tarefa agendada: OneDriveUpdaté (executa OneDriveStandaloneUpdater.exe) V->>V: Run key: HKCU\...\Run → "OneDriveHelper" = path do executável ``` ## Passo a Passo Detalhado ### Fase 1 — Dropper e Entrega O VENON é distribuído via email phishing com temas financeiros brasileiros (boleto vencido, nota fiscal, pendência CPF). O dropper inicial é um executável que parece um instalador de software legítimo, muitas vezes com ícone de PDF ou Excel. ### Fase 2 — Sequência de Nove Técnicas de Evasão Antes de qualquer atividade maliciosa, o VENON executa uma sequência de verificações e neutralizações de segurança documentadas pela ZenoX: 1. **AMSI Bypass**: Patcha o início da função `AmsiScanBuffer` em memória para retornar sempre `AMSI_RESULT_CLEAN` 2. **ETW Bypass**: Patcha `EtwEventWrite` para NOP — desabilita telemetria de eventos para ferramentas de segurança 3. **Anti-sandbox (tempo)**: Sleep de 30 segundos para enganar sandboxes com timeout curto 4. **Anti-VM**: Verifica presença de artefatos VMware/VirtualBox (registry keys, processos, CPUID) 5. **Anti-debug**: `IsDebuggerPresent` + verificação de timing entre instruções 6. **Process hollowing check**: Verifica se está sendo executado em processo hollowed 7. **AV bypass**: Enumera processos de AV e desativa via `taskkill` ou registry 8. **Memory scanning evasion**: Aloca payload em regiões de memória com permissões incomuns 9. **Assinatura polimórfica**: Hash do binário muda a cada geração (compilação com seed diferente) ### Fase 3 — DLL Side-Loading via OneDrive A técnica central de persistência e evasão: 1. Copia `OneDriveStandaloneUpdater.exe` (legítimo, assinado pela Microsoft) para `%APPDATA%\Microsoft\OneDrive\Updaté\` 2. Cria `vcruntime140.dll` maliciosa no **mesmo diretório** — a DLL maliciosa tem o mesmo nome que a DLL legítima do Visual C++ Runtime 3. Quando `OneDriveStandaloneUpdater.exe` é executado, o Windows carrega a DLL do diretório local **antes** de procurar em System32 (DLL search order hijacking) 4. A DLL maliciosa é carregada dentro do processo assinado pela Microsoft **Por que isso evade detecções?** Soluções de segurança baseadas em confiança de publisher verificam o assinante do **EXE**, não das DLLs que ele carrega. O processo `OneDriveStandaloneUpdater.exe` tem certificado válido da Microsoft — e a DLL maliciosa carregada por ele herda implicitamente essa confiança em muitos produtos de segurança. ### Fase 4 — Monitoramento de 33 Bancos Brasileiros Após inicialização dentro do processo OneDrive, o VENON: - Enumera jánelas abertas a cada 500ms via `GetWindowTextW` - Verifica contra lista codificada de 33 instituições financeiras brasileiras (Itaú, Bradesco, Caixa, BB, Nubank, Inter, C6, XP, etc.) - Quando detecta jánela bancária: captura screenshot + notifica operador + projeta overlay ## Ferramentas e Componentes | Componente | Tipo | Função | |------------|------|--------| | Dropper (EXE Rust) | Loader | Entrega e configuração inicial | | `OneDriveStandaloneUpdater.exe` | LOLBin (legítimo MS) | Host para DLL side-loading | | `vcruntime140.dll` maliciosa | DLL VENON | Payload principal (Rust) | | `version.dll` | DLL auxiliar | Módulo de overlay bancário | | Overlays HTML/CSS | Templates | Réplicas de 33 bancos brasileiros | ## Oportunidades de Detecção | Etapa | Indicador | Ferramenta | |-------|-----------|-----------| | AMSI Bypass | Patch da função `AmsiScanBuffer` em memória do processo | EDR — Memory Integrity | | Side-loading | `OneDriveStandaloneUpdater.exe` carregando DLL de `%APPDATA%` | EDR — DLL Load Monitoring | | Tarefa agendada | Tarefa "OneDriveUpdaté" com path em `%APPDATA%` (não Program Files) | SIEM / Sysmon Event 1 | | Beacon | Conexão HTTP de `OneDriveStandaloneUpdater.exe` para IP não-Microsoft | EDR / NDR | | Overlay | Jánela full-screen criada por processo OneDrive sobre jánela bancária | EDR Behavioral | ### Regra Sigma — DLL Side-Loading via OneDrive ```yaml title: VENON - DLL Side-Loading via OneDriveStandaloneUpdater logsource: category: image_load product: windows detection: selection: Image|endswith: '\OneDriveStandaloneUpdater.exe' ImageLoaded|contains: 'vcruntime140.dll' filter: ImageLoaded|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' - 'C:\Program Files\Microsoft OneDrive\' condition: selection and not filter level: high tags: - attack.defense_evasion - attack.t1574.002 ``` ## Mitigações 1. **EDR com monitoramento de carregamento de DLL** — alertar sobre DLLs carregadas de `%APPDATA%` por executáveis assinados 2. **AppLocker/WDAC** — restringir quais DLLs podem ser carregadas de paths fora de `Program Files` e `System32` 3. **Proteção de memória** — EDR com detecção de patching de funções de segurança (AMSI, ETW) 4. **Antifraude bancário** — detectar sessões com padrões de comportamento de RAT (latência de mouse, velocidade de digitação) 5. **Monitoramento de tarefas agendadas** — qualquer tarefa nova criada por processo não administrativo deve ser revisada - [[venon-banking-campaign-2026|VENON Banking Campaign 2026]] — campanha completa - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] — técnica MITRE central - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] — técnica pai - [[t1562-001-disable-tools|T1562.001 - Disable Security Tools]] — AMSI/ETW bypass - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] — persistência adicional - [[s0531-grandoreiro|Grandoreiro Operators]] — trojan bancário brasileiro similar (Delphi) - [[financial|Setor Financeiro]] — setor alvo - [[_techniques|Índice de TTPs]] — visão geral - [[t1574-002-*|MITRE ATT&CK - T1574.002 DLL Side-Loading]] --- *Fonte: [ZenoX — VENON Banking Trojan Analysis 2026](https://zenox.com.br/research/venon-2026)*