Creatief Programma ‘Defendnot’ Deactiveert Microsoft Defender op Windows

Een nieuwe tool genaamd ‘Defendnot’ kan Microsoft Defender op Windows-apparaten uitschakelen door een nep-antivirusprogramma te registreren, zelfs wanneer er geen echte antivirus is geïnstalleerd.

De truc maakt gebruik van een niet-gepubliceerde Windows Security Center (WSC) API, die door antivirussoftware wordt gebruikt om Windows te laten weten dat zij de real-time bescherming beheren.

Wanneer een antivirusprogramma wordt geregistreerd, schakelt Windows automatisch Microsoft Defender uit om conflicten te voorkomen met meerdere beveiligingsprogramma’s op hetzelfde apparaat.

Defendnot, ontwikkeld door de onderzoeker es3n1n, misbruikt deze API door een nep-antivirus te registreren die alle validatiecontroles van Windows doorstaat.

De tool is gebaseerd op een eerder project, no-defender, dat codes gebruikte van een andere antivirus om registratie met WSC te simuleren. Deze tool werd van GitHub verwijderd na een DMCA-verwijderingsverzoek van de antivirusontwikkelaar.

"Na de lancering kreeg het project veel aandacht en ontving het zo’n 1.500 sterren. Daarna diende de antivirusontwikkelaar een DMCA-verzoek in en besloot ik om alles te verwijderen en het achter me te laten," legt de ontwikkelaar uit in een blog.

Defendnot omzeilt auteursrechtelijke problemen door de functionaliteit helemaal opnieuw op te bouwen met een dummy-antivirus-DLL.

Normaal gesproken wordt de WSC API beschermd door processen zoals Protected Process Light (PPL) en geldige digitale handtekeningen.

Om deze beveiligingen te omzeilen, injecteert Defendnot zijn DLL in een systeemproces, Taskmgr.exe, dat al getekend en vertrouwd is door Microsoft. Vanuit dit proces kan het de nep-antivirus registreren met een verzonnen naam.

Zodra dit is gebeurd, schakelt Microsoft Defender zichzelf onmiddellijk uit, waardoor er geen actieve bescherming meer is op het apparaat.

Defendnot geregistreerd op een apparaat
Bron: BleepingComputer

De tool bevat ook een loader die configuratiegegevens doorgeeft via een ctx.bin-bestand. Hiermee kun je de naam van het antivirus aanpassen, de registratie uitschakelen en uitgebreide logging inschakelen.

Voor blijvende werking maakt Defendnot een autorun aan via de Windows Taakplanner zodat het start bij het inloggen.

Hoewel Defendnot als een onderzoeksproject wordt beschouwd, laat het zien hoe vertrouwde systeemfuncties gemanipuleerd kunnen worden om beveiligingsfuncties uit te schakelen.

Microsoft Defender detecteert en plaats Defendnot momenteel in quarantaine als ‘Win32/Sabsik.FL.!ml;’.

---

Verken de top 10 MITRE ATT&CK-technieken achter 93% van de aanvallen en ontdek hoe je je ertegen kunt verdedigen, gebaseerd op een analyse van 14 miljoen kwaadaardige acties.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.