新的“Defendnot”工具可诱骗 Windows 禁用 Microsoft Defender
一个名为“Defendnot”的新工具可以通过注册虚假的防病毒产品来禁用Windows设备上的Microsoft Defender,即使没有安装真正的AV。该技巧利用无证Windows安全中心(WSC)API,防病毒软件用于告诉Windows它已安装,现在正在管理设备的实时保护。注册防病毒程序时,Windows 会自动禁用 Microsoft Defender,以避免在同一设备上运行多个安全应用程序发生冲突。
Defendnot tool由研究人员 es3n1n 创建的Defendnot工具通过注册符合所有Windows验证检查的假防病毒产品来滥用此API。该工具基于之前一个名为“无防御者”的项目,该项目使用来自第三方防病毒产品的代码来欺骗WSC注册。早些时候的工具是在供应商提交DMCA删除后从GitHub中提取的。“然后,在发布几周后,该项目爆炸了不少,获得了约1.5万颗星,之后,我使用的防病毒软件的开发人员提交了DMCA删除请求,我真的不想做任何事情,所以只是抹去了所有内容并称之为一天t”开发人员在一篇博客文章中解释道。
Defendnot通过虚拟防病毒DLL从头开始构建功能来避免版权问题。通常,WSC API通过Protected Process Light(PPL),有效的数字签名和其他功能进行保护。要绕过这些要求,Defendnot 需要管理权限,它可以将其 DLL 注入到系统进程 Taskmgr.exe,该进程已由 Microsoft 签名且已经信任。从该过程中,它可以使用欺骗显示名称注册虚拟防病毒软件。注册后,Microsoft Defender立即关闭自己,在设备上没有留下任何主动保护。
该工具还包括一个加载器,该加载器通过ctx.bin文件传递配置数据,并允许您设置要使用的防病毒名称,关闭注册并启用冗长的日志记录。对于持久性,Defendnot 会通过 Windows 任务计划程序创建自动运行,以便在登录 Windows 时启动。虽然Defendnot被认为是一个研究项目,但该工具演示了如何操纵可信的系统功能以关闭安全功能。Microsoft Defender 目前正在检测和隔离 Defendnot 为 ‘Win32/Sabsik.FL . !ml;检测。