«Защита»: как фальшивый антивирус пытается с Windows и деактивирует Microsoft Defender

В эпоху, в которой цифровая безопасность более важна, чем когда-либо, новый инструмент с концепцией подтверждает сигналы тревоги в сообществе кибербезопасности. Его зовут Защитаи то, что ему удается сделать, это как гениально, так и беспокойство: он обманывает операционную систему Windows, чтобы отключить свой основной антивирус, Microsoft Defender, не устанавливая другую антивирусную программу. Этот трюк использует внутренний механизм операционной системы и вызывает уязвимость потенциальных уязвимостей в том, как Windows управляет приложениями безопасности.

Defendnot основан на небекукументированном API Центра безопасности Windows (WSC), службы, которая управляет информацией о решениях безопасности, установленных в системе. Обычно, когда антивирусное программное обеспечение записывается в WSC, Windows останавливает Microsoft Defender, чтобы избежать конфликтов между реальными приложениями защиты времени. Эта функциональность необходима для совместимости между антивирусными решениями, но ее можно использовать, как показано Defendnot.

Инструмент, созданный исследователем, известный под псевдонимом es3n1n Он использует эту лакуну для записи ложного антивируса, который соответствует всем требованиям проверки Windows. Нет необходимости в настоящем антивирусе — достаточно, чтобы система верила, что присутствует. Defendnot использует ложному библиотеку DLL, введенную в доверенную систему (в данном случае Taskmgr.exe), чтобы получить необходимые разрешения для регистрации.

После того, как вымышленный «антивирус» записан, Microsoft Defender немедленно останавливается, оставляя систему без активной защиты. Таким образом, злоумышленники могут использовать этот момент уязвимости для запуска вредоносного ПО без обнаружения.

От исследовательского проекта до потенциального основного риска

Хотя Defendnot представлен в качестве исследовательского проекта, его влияние нельзя игнорировать. Инструмент — продолжение более старого проекта, называемого Без защитникакоторый был удален из GitHub после запроса DMCA, представленного антивирусным поставщиком, чьи коды использовались для моделирования регистрации. В отличие от своего предшественника, Defendnot не использует код, защищенный авторским правом, но создает свою функциональность с нуля, тем самым избегая юридических вопросов.

Инструмент также включает загрузчик с использованием файла конфигурации (ctx.bin) Чтобы установить имя отображаемого «антивируса», активируйте подробную регистрацию или отключите запись. Чтобы сохранить после перезапуска системы, Defendnot создает автоматическую задачу в планировщике задач Windows, активируя в каждом входе в систему пользователя.

Эта демонстрация вызывает серьезную проблему: Даже функции, считающиеся безопасными и защищенными — например, те, которые управляются цифровыми подписями и привилегированными процессами — могут манипулировать сложными злоумышленниками.

Реакция Microsoft и защитные меры

После публикации этого инструмента Microsoft Defender начал обнаруживать Defiandnot под названием Win32/sabsik.fl.! Млчто означает, что он пытается предотвратить свое исполнение активным способом. Тем не менее, тот факт, что такой инструмент удалось работать, не будучи первоначально заблокированным, повышает вопросы вопроса о текущей надежной системе, предлагаемой Windows.

Для пользователей важно понимать, что простое присутствие защитника Microsoft не гарантирует абсолютную защиту, особенно в связи с передовыми методами избежания обнаружения. Постоянное обновление операционной системыИспользование надежного антивирусного решения и осторожности при загрузке и запуске файлов является важными шагами в поддержании цифровой безопасности.

В заключение, Defendnot не является простым экспериментом: это четкая демонстрация того, как механизмы безопасности могут быть подорваны изнутри. По мере того, как злоумышленники становятся все более и более креативными, для разработчиков операционных систем и антивирусного программного обеспечения крайне важно не отставать от новых методов обхода защиты. В противном случае, риск остаться полностью обнаруженным — даже когда мы думаем, что мы защищены — он становится все более настоящей реальностью.