Una nueva herramienta llamada “DefendNot” puede desactivar Microsoft Defender en dispositivos Windows registrando un producto antivirus falso, incluso cuando no se instala ningún AV real.
El truco utiliza una API indocumentada de seguridad de Windows Center (WSC) que el software antivirus utiliza para indicar a Windows que está instalado y ahora gestiona la protección de tiempo real del dispositivo.
Cuando se guarda un programa antivirus, Windows desactiva automáticamente el defensor de Microsoft para evitar conflictos realizando varias aplicaciones de seguridad en el mismo dispositivo.
EL Herramienta de defensaCreado por el investigador Es3n1nEl abuso de esta API registrando un producto antivirus falso que responde a todas las verificaciones de validación de Windows.
La herramienta se basa en un proyecto anterior llamado indocumentadoque usó el código de un producto antivirus tercero para usar con WSC. Esta herramienta anterior fue eliminada de GitHub después de que el vendedor ha depositado un retiro de la DMCA.
“Luego, después de unas semanas después del lanzamiento, el proyecto explotó un poco y ganó ~ 1.5,000 estrellas, después de eso, los desarrolladores del antivirus que solía presentar una solicitud de retiro del DMCA y realmente no quería hacer lo que blog.
Defendnot evita problemas de derechos de autor mediante la creación de funcionalidad de cero a través de un antivirus ficticio DLL.
Normalmente, la API WSC se guarda a través de la luz de proceso protegida (PPL), las firmas digitales válidas y otras características.
Para evitar estos requisitos, DefendNot inyecta su DLL en un proceso del sistema, TaskMgr.exe, que ya es confiable por Microsoft. A partir de este proceso, puede registrar el antivirus falso con un nombre de pantalla usurpado.
Una vez registrado, Microsoft Defender se detiene inmediatamente, sin dejar protección activa en el dispositivo.
Fuente: BleepingCompute
La herramienta también incluye un cargador que transmite datos de configuración a través de un archivo ctx.bin y le permite definir el nombre antivirus que desea usar, desactivar la grabación y activar la periodización verbal.
Para la persistencia, DefendNot crea un altamente el planificador de tareas de Windows para que comience cuando se conecta a Windows.
Aunque DefendNot se considera un proyecto de investigación, la herramienta muestra cómo las funcionalidades del sistema de confianza se pueden manipular para desactivar las características de seguridad.
Microsoft Defender detecta y pone en cuarentena Defendnot como ‘win32 / sabsik.fl.! Ml; detección.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.