Поделиться
Найден хитрый трюк, заставляющий Windows отключить встроенный антивирус Defender
С помощью своеобразного трюка можно заставить Центр безопасности Windows поверить, что в систему установлен новый антивирус. Defender при этом автоматически отключается.
Просто поверьте, я ваш новый антивирус
Операционную систему Microsoft Windows можно заставить деактивировать встроенный антивирус Defender, «убедив» ее, что установлен другой защитный продукт, даже если на деле это не так.
В Центре безопасности Windows присутствует незадокументированный API, который сигналит об установке нового антивируса, обеспечивающего защиту в режиме реального времени. После его активации Windows автоматически отключает Microsoft Defender, чтобы изежат системных конфликтов.
Некто es3n1n, исследователь в сфере информационной безопасности, написал инструмент Defendnot, который позволяет зарегистрировать в качестве актуального антивируса нефункциональную «болванку».
Ранее es3n1n написал подобный продукт (no-defender), но тот содержал фрагмент кода из коммерческого антивируса, использовавшийся как раз для регистрации в Центре безопасности Windows. Как только проект достиг известности, разработчик коммерческого продукта прислал GitHub жалобу на нарушение закона DMCA. Разработчик в итоге решил закрыть репозиторий и удалить его содержимое, чтобы не нарваться на судебное разбирательство.
Чтобы ситуация не повторилась, es3n1n на этот раз воспроизвел ту же функциональность, используя DLL-библиотеки фиктивного антивируса.
Вопрос внедрения
API Центра безопасности Windows обычно защищены с помощью целого ряда мер. Это, в частности, технология Protected Process Light, которая следит, чтобы в операционной системе загружались только доверенные службы и процессы, а также проверка валидности цифровых подписей и т.д.
Но es3n1n нашел способ обходить эту защиту: Defendnot осуществляет инъекцию своих DLL в системный процесс Taskmgr.exe, который пользуется в Windows полным доверием.
И уже из-под этого процесса можно произвести регистрацию антивируса-«пустышки» с произвольным наименованием, избавив тем самым Windows от защиты со стороны Defender.
Defendnot включает загрузчик, который передает данные настройки через файл ctx.bin и позволяет задавать название мнимому антивирусу, отключать его регистрацию или обеспечивать избыточное журналирование.
Для обеспечения постоянства присутствия Defendnot создаеат в Планировщике задач Windows инструкцию на свой запуск при каждом входе в систему.
Разработчик утверждает, что его продукт - сугубо исследовательский проект. Впрочем, Microsoft Defender уже выявляет и блокирует его с вердиктом Win32/Sabsik.FL.!ml.
«По существу это полноценный вредонос, который мог быть использован в практических атаках, - «мог», поскольку теперь отключаемый антивирус ловит его первым», - указывает Анастасия Мельникова, директор по безопасности компании SEQ. «Но не может не беспокоить тот факт, что доверенными процессами в системе оказывается сравнительно легко манипулировать. Сравнительно, поскольку сам разработчик инструмента в своей публикации жалуется, что это было отнюдь не самой простой задачей».
Короткая ссылка
