Siber güvenlik geliştiricileri, daha önce DMCA-TAHMİ EDİLMESİ ELEMED “DEFENDER” projesinin halefi olan “DefendNot” adlı yeni bir araç yayınladı.
Bu yenilikçi yardımcı program, kendisini üçüncü taraf bir antivirüs çözümü olarak kaydederek Windows Defender’ı devre dışı bırakmak için belgesiz Windows Güvenlik Merkezi API’lerini kullanır.
Geliştirici yakın zamanda, sınırlı geliştirme kaynaklarıyla yurtdışına seyahat ederken bu teknik geçici çözümü uygulayarak yolculuklarını paylaştı.
.png
)
DefendNot, Windows Systems Systems’taki güvenlik yazılımını koordine etmek için tasarlanmış Windows Güvenlik Merkezi (WSC) Hizmeti’ni kullanarak çalışır.
Meşru bir antivirüs, WSC’nin COM API’sı aracılığıyla kaydolduğunda, Windows çatışmaları önlemek için yerel savunma çözümünü otomatik olarak devre dışı bırakır.
Teknik uygulama, WSC’nin birden fazla güvenlik kontrolü yoluyla arayanları doğrulayan doğrulama algoritmalarını tersine mühendislik gerektiriyordu.
Geliştiriciye göre, WSC imza doğrulaması gerçekleştirir ve DLL özelliklerini özel olarak Formaintegrity FLA’yı kontrol eder.
Çok sayıda sistem ikilisini test ettikten sonra, geliştirici TaskMgr.exe’nin WSC API çağrılarını yapan kodu barındırmak için uygun bir “kurban süreci” olarak hizmet edebileceğini keşfetti.
“Pencerelerde, pencereler tarafından kaputta başka bir antivirüs olduğunu ve Windows Defender’ı devre dışı bırakması gerektiğini bildirmek için antivirüsler tarafından kullanılan bir WSC hizmeti var,” diye açıklıyor belgeleri bu API’lerin belgelenmemiş kaldığını ve tipik olarak Microsoft ile erişmek için bir NDA imzalamayı gerektirdiğini belirtiyor.
DefendNot – Windows Defender’ı devre dışı bırakma
Geliştirici, Seul’deki bir Airbnb’den X86 Windows geliştirme için uygun olmayan bir M4Pro MacBook ile çalışarak olağandışı koşullar altında DefendNot yarattı.
Bu, Amerika Birleşik Devletleri’ndeki bir arkadaşının PC’ye uzaktan erişimini ödünç almak da dahil olmak üzere yaratıcı geçici çözümler kullanmaya zorladı ve bu da 210ms’den fazla gecikme ile hata ayıklama oturumlarına neden oldu.
“Kurulumum şöyle görünüyordu: MSVC kullanarak paralelliklerde çalışan Windows ARM64’teki modülü oluşturun, oluşturulan klasörleri kullanarak yapım eserlerini paylaşın, anydesk’i arkadaşımın PC’de çalışan sanal makineye kullanarak oluşturma artefaktlarını kopyalayın, 210ms gecikme ile parsec kullanarak hizmeti hata ayıklayın” diye hatırladı.
Sonra ne olduğuna baktıktan sonra cmd.exe WSC’de bir antivirüs kaydetmeyi istedikten sonra, işlevi takip ettim.
Yani yaptığı şey, RPC yöntemlerini çağıran sürecin bir WinDefend Bir jeton üzerinde Sid.
Sonunda, geliştirici, uyumlu bir geliştirme ortamına çıplak metal erişim elde etmek için bir gölge.tek aboneliğine 30 dolar harcadı.
Koruma Bypass ve Kullanım Yönergeleri
Geçici devre dışı bırakma yöntemlerinden farklı olarak, DefendNot, Windows Autorun’a ekleyerek sistem yeniden başlatmalarındaki etkisini korur.
“Ne yazık ki, bu WSC şeylerini yeniden başlattıktan sonra bile tutmak için, [it] Kendini Autorun’a ekler. Bu nedenle, ikili dosyaları diskinizde tutmanız gerekir ”diye açıklıyor belgeler.
Kullanıcılar, hem Windows Defender’ı hem de Windows Güvenlik Duvarı’nı devre dışı bırakmak da dahil olmak üzere çeşitli seçenekleri destekleyen bir komut satırı arabirimi aracılığıyla aracı kontrol edebilir.
Mevcut bayraklar arasında – değişiklikleri geri döndürme, –Firewall güvenlik duvarını devre dışı bırakmak için –Firewall, savunucuyu devre dışı bırakmak için ve –Name kayıtlı antivirüs adını özelleştirmek için.
Orijinal savunmacı olmayan proje, kodu kullanılan bir antivirüs şirketi tarafından DMCA yayından kaldırma yoluyla kaldırılırken, DefendNot üçüncü taraf antivirüs kodu kullanmadan “temiz” bir uygulamayı temsil eder.
Geliştirici, WSC’nin içsellerinin daha ayrıntılı bir teknik açıklamasının bir ortak çalışan tarafından ayrı ayrı yayınlanacağını göstermektedir.
Güvenlik uzmanları, bu tür araçların ilginç teknik çözümler gösterirken, koruma mekanizmalarının devre dışı bırakılmasının yalnızca güvenlik sonuçlarını tam olarak anlayan kullanıcılar tarafından kontrollü ortamlarda yapılması gerektiği konusunda uyarır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!