DefendNot, Windows Güvenlik Merkezi (WSC) API’sını meşru bir antivirüs çözümü olarak kaydettirmek için Windows Defender’ı etkili bir şekilde devre dışı bırakan sofistike yeni bir araç.
Windows Güvenlik Merkezi Hizmeti, Windows bilgisayarların yeterli güvenlik korumasını sürdürmesini sağlamak için tasarlanmıştır.
Üçüncü taraf antivirüs yazılımı yüklendiğinde, WSC ile kaydolur, bu da çatışmaları önlemek için Windows Defender’ı otomatik olarak devre dışı bırakır.
.png
)
“ES3N1N” olarak bilinen bir GitHub geliştiricisi tarafından geliştirilen araç, mevcut antivirüs ürünlerinden koda güvenmeden WSC ile doğrudan etkileşimi için dikkat çekicidir.
Bu sürüm, geliştiricinin önceki aracı olan “Defender olmayan” bir DMCA yayından kaldırma talebinin ardından kaldırıldı.
Cyber Security News ile bir raporda paylaşılan geliştirici, “Pencerelerde, Windows tarafından Windows tarafından kaputta başka bir antivirüs olduğunu ve Windows Defans’ı devre dışı bırakması gerektiğini bildirmek için kullanılan bir WSC (Windows Güvenlik Merkezi) hizmeti var” dedi.
“Bu WSC API belgesiz ve ayrıca insanların belgelerini almak için Microsoft ile bir NDA imzalamasını gerektiriyor.”
Savunmak Windows Defender’ı devre dışı bırakın
Geliştiricinin detaylı blog yayınına göre, DefendNot oluşturmak WSC hizmetinin kapsamlı tersine mühendisliğini içeriyordu ve Microsoft’un kullandığı işlem doğrulama mekanizmalarının belirlenmesi.
Proje, WSC’nin antivirüs çözümleri olarak kaydolmalarına izin vermeden önce arama süreçlerini nasıl doğruladığını anlamak da dahil olmak üzere önemli teknik zorluklarla karşılaştı.
Kritik bir keşif, WSC’nin PE başlığında Image_DllCharacteristics_Force_Integrity bayrağını doğrulamak ve dijital imzaları incelemek de dahil olmak üzere kaydolmaya çalışan işlemler üzerinde kontroller yapmasıdır.
Görev Yöneticisi (TaskMgr.exe) bu gereksinimleri karşıladı ve DefendNot kodunu barındırmak için “mağdur süreci” olarak kullanılabilir.
Araç, bir fantom antivirüs ürünü kaydederek WSC ile etkileşim kurmak için COM arayüzleri kullanır. Windows bu “antivirüs” tespit ettiğinde, yerleşik korumasını otomatik olarak devre dışı bırakır.
Güvenlik araştırmacısı Will Dornn, aracı sosyal medyada vurguladı ve “bu tekniği boş bir AV ürünü yüklemek için kullandığını ve böylece Microsoft Defender’ı basitçe devre dışı bırakma etkisine sahip olduğunu” belirtti.
Teknik olarak, DefendNot, IWSCProductList gibi arayüzleri WSC ile etkileşim kurmak için uygular ve Microsoft’un genellikle NDA altındaki Microsoft Virüs Girişimi (MVI) programı aracılığıyla sertifikalı antivirüs satıcılarıyla paylaşılan belgesiz Windows API’lerini kullanır.
Araç birkaç komut içerir:
Geliştirici tarafından belirtilen bir sınırlama, “Bu WSC şeylerini yeniden başlattıktan sonra bile tutmak için, Defendnot kendini Autorun’a ekliyor. Bu nedenle, Defendnot ikili dosyalarını diskinizde tutmanız gerekecek.”
Araç etkileyici teknik bilgi ve ters mühendislik becerileri gösterirken, güvenlik uzmanları, bu tür kamu hizmetlerinin güvenlik korumalarını devre dışı bırakmak isteyen kötü amaçlı yazılım yazarları tarafından potansiyel olarak kötüye kullanılabileceğine dair uyarıda bulunur.
Bununla birlikte, savunma notunun, gizli dağıtım potansiyelini sınırlayarak işlev görmesi için idari ayrıcalıklar gerektirdiğini belirtmek gerekir.
Güvenlik araştırmacıları ve yöneticiler için bu araç, Windows’un güvenlik ürün entegrasyonunu nasıl yönettiğine dair değerli bilgiler sağlar ve gelecekte benzer bypass’ları önlemek için Microsoft’un güvenlik mimarisinin güçlendirilebileceği potansiyel alanları vurgular.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir