Ένα νέο εργαλείο που ονομάζεται «DefendNot» μπορεί να απενεργοποιήσει την Microsoft Defender σε συσκευές Windows, καταγράφοντας ένα ψεύτικο προϊόν προστασίας από ιούς, ακόμη και όταν δεν έχει εγκατασταθεί πραγματικό AV.
Το τέχνασμα χρησιμοποιεί ένα API του Κέντρου Ασφαλείας των Windows (WSC) που χρησιμοποιεί το λογισμικό antivirus για να πει στα Windows ότι είναι εγκατεστημένο και τώρα διαχειρίζεται την προστασία σε πραγματικό χρόνο για τη συσκευή.
Όταν καταχωρείται ένα πρόγραμμα προστασίας από ιούς, τα Windows απενεργοποιούν αυτόματα τον Microsoft Defender για να αποφευχθούν οι συγκρούσεις από τη λειτουργία πολλαπλών εφαρμογών ασφαλείας στην ίδια συσκευή.
Ο Defendnot εργαλείοπου δημιουργήθηκε από τον ερευνητή es3n1nκαταχράται αυτό το API καταγράφοντας ένα ψεύτικο προϊόν προστασίας από ιούς που πληροί όλους τους ελέγχους επικύρωσης των Windows.
Το εργαλείο βασίζεται σε ένα προηγούμενο έργο που ονομάζεται όχι αμυντικόςο οποίος χρησιμοποίησε κώδικα από ένα προϊόν προστασίας από τρίτους για την καταχώριση με την WSC. Αυτό το προηγούμενο εργαλείο τραβήχτηκε από το GitHub, αφού ο πωλητής κατέθεσε μια κατάργηση DMCA.
“Στη συνέχεια, μετά από λίγες εβδομάδες μετά την απελευθέρωση, το έργο ανατίναξε αρκετά και κέρδισε ~ 1,5k αστέρια, μετά από αυτό οι προγραμματιστές του antivirus χρησιμοποιούσα ένα αίτημα DMCA Takedown και δεν ήθελα πραγματικά να κάνω τίποτα με αυτό έτσι απλά σβήνουν τα πάντα και το αποκαλούσα μια μέρα”, εξηγεί ο προγραμματιστής στο a ανάρτηση ιστολογίου.
Το DefendNOT αποφεύγει τα ζητήματα πνευματικής ιδιοκτησίας με την οικοδόμηση της λειτουργικότητας από το μηδέν μέσω ενός εικονικού DLL Antivirus.
Κανονικά, το WSC API προστατεύεται μέσω προστατευμένου φωτός διεργασίας (PPL), έγκυρων ψηφιακών υπογραφών και άλλων χαρακτηριστικών.
Για να παρακάμψει αυτές τις απαιτήσεις, η DefendNOT εισάγει το DLL σε μια διαδικασία συστήματος, taskmgr.exe, που υπογράφεται και έχει ήδη εμπιστευτεί η Microsoft. Από αυτή τη διαδικασία, μπορεί να καταχωρήσει το εικονικό Antivirus με ένα πλαστό όνομα οθόνης.
Μόλις εγγραφεί, ο Microsoft Defender σβήνει αμέσως, χωρίς να αφήνει ενεργό προστασία στη συσκευή.
Πηγή: BleepingComputer
Το εργαλείο περιλαμβάνει επίσης έναν φορτωτή που μεταδίδει δεδομένα διαμόρφωσης μέσω ενός αρχείου ctx.bin και σας επιτρέπει να ορίσετε το όνομα Antivirus που θέλετε να χρησιμοποιήσετε, να απενεργοποιήσετε την εγγραφή και να ενεργοποιήσετε την καταγραφή.
Για επιμονή, το DefendNot δημιουργεί ένα autorun μέσω του προγραμματιστή εργασιών των Windows, ώστε να ξεκινά όταν συνδεθείτε στα Windows.
Ενώ το DefendNot θεωρείται ερευνητικό πρόγραμμα, το εργαλείο καταδεικνύει πώς μπορούν να χειριστούν αξιόπιστα χαρακτηριστικά του συστήματος για να απενεργοποιήσουν τα χαρακτηριστικά ασφαλείας.
Ο Microsoft Defender ανιχνεύει επί του παρόντος και Defendnot ως «Win32/Sabsik.fl. ανίχνευση.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
