Nowe narzędzie o nazwie Defendnot pokazuje, jak cyberprzestępcy mogą wykorzystać nieudokumentowane API systemu Windows, aby potajemnie wyłączyć Microsoft Defender. Choć to narzędzie jest prezentowane jako Proof of Concept (PoC), jego mechanizmy mogą zostać łatwo zaadaptowane w rzeczywistych atakach. Sprawdź, jak działa ta technika i jakie zagrożenia niesie dla użytkowników systemu Windows.
Nowe narzędzie o nazwie Defendnot prezentuje interesującą i niepokojącą technikę wyłączania Microsoft Defendera bez potrzeby eskalacji uprawnień czy interakcji użytkownika. W przeciwieństwie do swojego poprzednika – znanego jako "No-defender", który opierał się na nadużywaniu zewnętrznego oprogramowania zabezpieczającego, Defendnot działa całkowicie niezależnie.
Narzędzie wykorzystuje nieudokumentowane API Windows Security Center (WSC), które w normalnych warunkach służy legalnemu oprogramowaniu antywirusowemu do zgłaszania się jako główny dostawca ochrony. Gdy taki program zostanie zarejestrowany, system Windows automatycznie dezaktywuje Microsoft Defender, aby zapobiec konfliktom między narzędziami ochronnymi.
Aby zrealizować ten cel, Defendnot wstrzykuje kod do zaufanego procesu systemowego – w tym przypadku taskmgr.exe (Menedżer zadań) – a następnie z jego poziomu wykonuje wywołanie API WSC. Dzięki temu rejestruje fałszywy program antywirusowy, co skutkuje automatycznym wyłączeniem Defendera.
Co więcej, Defendnot:
- obsługuje plik konfiguracyjny, który pozwala m.in. definiować nazwę „fałszywego” programu bezpieczeństwa,
- może ustanowić trwałość poprzez tworzenie zaplanowanych zadań, uruchamiających go przy każdym logowaniu użytkownika.
Choć narzędzie jest przedstawiane jako Proof of Concept (PoC), jego funkcje są na tyle rozbudowane, że mogą zostać łatwo zaadaptowane w atakach typu malware. To kolejny przykład na to, jak nawet zaawansowane zabezpieczenia systemu Windows mogą zostać obejście przy użyciu legalnie wyglądających metod.
Artykuł powstał na podstawie: New 'Defendnot' tool tricks Windows into disabling Microsoft Defender
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
