Просто поверьте, я ваш новый антивирус

Операционную систему Microsoft Windows можно заставить деактивировать встроенный антивирус Defender, «убедив» ее, что установлен другой защитный продукт, даже если на деле это не так.

В Центре безопасности Windows присутствует незадокументированный API, который сигналит об установке нового антивируса, обеспечивающего защиту в режиме реального времени. После его активации Windows автоматически отключает Microsoft Defender, чтобы изежат системных конфликтов.

Некто es3n1n, исследователь в сфере информационной безопасности, написал инструмент Defendnot, который позволяет зарегистрировать в качестве актуального антивируса нефункциональную «болванку».

Ранее es3n1n написал подобный продукт (no-defender), но тот содержал фрагмент кода из коммерческого антивируса, использовавшийся как раз для регистрации в Центре безопасности Windows. Как только проект достиг известности, разработчик коммерческого продукта прислал GitHub жалобу на нарушение закона DMCA. Разработчик в итоге решил закрыть репозиторий и удалить его содержимое, чтобы не нарваться на судебное разбирательство.

Чтобы ситуация не повторилась, es3n1n на этот раз воспроизвел ту же функциональность, используя DLL-библиотеки фиктивного антивируса.

Вопрос внедрения

API Центра безопасности Windows обычно защищены с помощью целого ряда мер. Это, в частности, технология Protected Process Light, которая следит, чтобы в операционной системе загружались только доверенные службы и процессы, а также проверка валидности цифровых подписей и т.д.

Но es3n1n нашел способ обходить эту защиту: Defendnot осуществляет инъекцию своих DLL в системный процесс Taskmgr.exe, который пользуется в Windows полным доверием.

И уже из-под этого процесса можно произвести регистрацию антивируса-«пустышки» с произвольным наименованием, избавив тем самым Windows от защиты со стороны Defender.

Defendnot включает загрузчик, который передает данные настройки через файл ctx.bin и позволяет задавать название мнимому антивирусу, отключать его регистрацию или обеспечивать избыточное журналирование.

Для обеспечения постоянства присутствия Defendnot создаеат в Планировщике задач Windows инструкцию на свой запуск при каждом входе в систему.

Разработчик утверждает, что его продукт - сугубо исследовательский проект. Впрочем, Microsoft Defender уже выявляет и блокирует его с вердиктом Win32/Sabsik.FL.!ml.

«По существу это полноценный вредонос, который мог быть использован в практических атаках, - «мог», поскольку теперь отключаемый антивирус ловит его первым», - указывает Анастасия Мельникова, директор по безопасности компании SEQ. «Но не может не беспокоить тот факт, что доверенными процессами в системе оказывается сравнительно легко манипулировать. Сравнительно, поскольку сам разработчик инструмента в своей публикации жалуется, что это было отнюдь не самой простой задачей».

Роман Георгиев

Короткая ссылка