Созданный ИБ-исследователем инструмент Defendnot способен отключить защиту Microsoft Defender на устройствах под управлением Windows, зарегистрировав в системе поддельный антивирусный продукт, даже если настоящий антивирус не установлен.
Defendnot создан ИБ-экспертом с ником es3n1n и злоупотребляет недокументированным API Windows Security Center (WSC), регистрируя в системе поддельный антивирусный продукт, который может пройти все проверки Windows.
Эксперт объясняет, что антивирусное ПО использует API WSC, чтобы сообщить Windows, что оно установлено и теперь управляет защитой устройства в режиме реального времени. После регистрации антивирусной программы, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов, которые могут возникать при запуске нескольких защитных решений на одном устройстве.
Новый инструмент основан на предыдущем проекте es3n1n — no-defender, который использовал код из стороннего антивирусного продукта для спуфинга регистрации в WSC. Предыдущий инструмент был удален с GitHub после того, как производитель антивируса подал DMCA-жалобу.
«Через несколько недель после релиза проект взлетел и набрал около 1500 звезд, после чего разработчики антивируса, который я использовал, подали DMCA-жалобу. Я не стал ничего с этим делать, просто удалил и поставил точку», — объясняет исследователь в своем блоге.
У Defendnot не должно возникнуть проблем с авторскими правами, поскольку нужная функциональность создается с нуля с помощью фиктивной антивирусной DLL.
Обычно API WSC защищается при помощи Protected Process Light (PPL), действительных цифровых подписей и других механизмов. Чтобы обойти эти требования, Defendnot внедряет свою DLL в системный процесс Taskmgr.exe, который подписан и уже пользуется доверием Microsoft. Из этого процесса он может зарегистрировать фиктивный антивирус с поддельным именем.
После регистрации фальшивки Microsoft Defender немедленно отключается, оставляя устройство без активной защиты.
Кроме того, в состав утилиты входит загрузчик, передающий конфигурационные данные через файл ctx.bin и позволяющий задать имя используемого антивируса, отключить регистрацию и включить ведение подробных логов.
Для обеспечения постоянства Defendnot проникает в автозапуск через Планировщик задач, что позволяет ему запускаться при каждом входе в Windows.
Стоит отметить, что в настоящее время Microsoft Defender обнаруживает Defendnot и помещает его в карантин с пометкой Win32/Sabsik.FL.!ml.
