Naujas įrankis, pavadintas „Defendnot“, gali išjungti „Microsoft Defender“ „Windows“ įrenginiuose, užregistruodamas netikrą antivirusinį produktą, net jei tikroji AV nėra įdiegta.
Triukas naudoja nedokumentuotą „Windows Security Center“ (WSC) API, kurią antivirusinė programinė įranga naudoja norėdama pranešti „Windows“, kad ji yra įdiegta ir dabar valdo įrenginio apsaugą realiuoju laiku.
Užregistravus antivirusinę programą, „Windows“ automatiškai išjungia „Microsoft Defender“, kad būtų išvengta konfliktų dėl to, jog tame pačiame prietaise veikia kelios apsaugos programos.
Tyrėjo es3n1n sukurta priemonė Defendnot piktnaudžiauja šia API, registruodama netikrą antivirusinį produktą, kuris atitinka visus „Windows“ patvirtinimo patikrinimus.
Įrankis pagrįstas ankstesniu projektu no-defender, kuriame buvo naudojamas trečiosios šalies antivirusinio produkto kodas, kad suklastotų registraciją su WSC. Šis ankstesnis įrankis buvo pašalintas iš „GitHub“ po to, kai pardavėjas pateikė DMCA pašalinimo pranešimą.
„Tada, praėjus kelioms savaitėms po išleidimo, projektas gana smarkiai išaugo ir įgijo ~ 1,5 tūkst. žvaigždučių, po to antivirusinės programos, kurią naudojau, kūrėjai pateikė DMCA pašalinimo prašymą ir aš tikrai nenorėjau nieko su tuo daryti, todėl tiesiog viską ištryniau“, – aiškina kūrėjas tinklaraščio įraše.
„Defendnot“ išvengia autorių teisių problemų, nes funkcijas kuria nuo nulio, naudodamas fiktyvią antivirusinę DLL knygą.
Įprastai WSC API yra apsaugota naudojant apsaugoto proceso šviesą (Protected Process Light, PPL), galiojančius skaitmeninius parašus ir kitas funkcijas.
Kad apeitų šiuos reikalavimus, „Defendnot“ reikia administracinių privilegijų, kuriomis naudodamasis jis gali įterpti savo DLL į sistemos procesą Taskmgr.exe. Šiame procese ji gali užregistruoti fiktyvią antivirusinę programą su suklastotu rodomu pavadinimu.
Užregistravus „Microsoft Defender“, „Microsoft Defender“ iš karto išsijungia, todėl įrenginyje nelieka jokios aktyvios apsaugos.
Įrankyje taip pat yra įkroviklis, kuris perduoda konfigūracijos duomenis per ctx.bin failą ir leidžia nustatyti norimą naudoti antivirusinės programos pavadinimą, išjungti registraciją ir įjungti verbalinį registravimą.
Kad programa išliktų, Defendnot sukuria automatinį paleidimą per „Windows“ užduočių planuoklį, todėl ji paleidžiama, kai prisijungiate prie „Windows“.
Nors „Defendnot“ laikomas mokslinių tyrimų projektu, įrankis parodo, kaip galima manipuliuoti patikimomis sistemos funkcijomis ir išjungti apsaugos funkcijas.
Šiuo metu „Microsoft Defender“ aptinka „Defendnot“ kaip „Win32/Sabsik.FL.!ml; aptikimo priemonę ir patalpina ją į karantiną.
Šaltinis: bleepingcomputer.com
