Nyt værktøj ‘Defendnot’ slår Microsoft Defender fra ved at narre Windows
Et nyt værktøj kaldet Defendnot kan deaktivere Microsoft Defender på Windows-enheder ved at registrere et falsk antivirusprogram – selv når der slet ikke er installeret noget reelt antivirusprogram. Denne form for værktøjer sætter hele sikkerhedsstrukturen i Windows skakmat. Defender deaktiveres straks – uden aktiv beskyttelse.
Det falske antivirusprogram deaktivere Microsoft Defender omgående. Dette efterlader systemet helt uden aktiv realtidsbeskyttelse.
Metoden udnytter et ikke-dokumenteret API i Windows Security Center (WSC), som normalt anvendes af legitime antivirusprogrammer til at informere Windows om, at de er installeret og varetager den realtidsbeskyttelse, som Microsoft Defender ellers udfører.
Når et antivirusprogram registreres via WSC, deaktiveres Microsoft Defender automatisk, for at undgå konflikter mellem flere sikkerhedsprogrammer på samme system.
Forsker bag værktøjet udnytter API med falsk antivirus-registrering
Værktøjet Defendnot er udviklet af sikkerhedsforskeren es3n1n og misbruger denne mekanisme ved at registrere et falsk antivirusprogram, som overholder alle de valideringskontroller, Windows foretager.
Det nye værktøj er en videreudvikling af et tidligere projekt ved navn no-defender, der anvendte kode fra et tredjeparts antivirusprodukt til at spoofe registreringen i WSC. Dette ældre værktøj blev fjernet fra GitHub efter en DMCA-anmodning fra softwareleverandøren.
“Så, et par uger efter udgivelsen blev projektet ret populært og fik omkring 1.500 stjerner. Derefter indsendte udviklerne af antivirussoftwaren, som jeg brugte, en DMCA-anmodning, og jeg havde ikke lyst til at beskæftige mig med det, så jeg slettede det hele og kaldte det en dag.”
Kilde: Blogindlæg af es3n1n
Defendnot er skrevet fra bunden og undgår ophavsretlige problemer
I modsætning til forgængeren undgår Defendnot ophavsretlige problemer ved at være skrevet helt fra bunden og ved at anvende en dummie-DLL, som fungerer som et falsk antivirusprogram.
Under normale omstændigheder er adgangen til WSC API beskyttet gennem mekanismer som Protected Process Light (PPL) og krav om gyldige digitale signaturer. Disse foranstaltninger skal forhindre manipulation og misbrug.
Defendnot omgår dog disse sikkerhedsforanstaltninger ved at injicere sin DLL-fil i en allerede signeret og betroet systemproces, nemlig Taskmgr.exe (Jobliste). Herfra kan værktøjet registrere sit falske antivirusprogram med et manipuleret visningsnavn, der opfattes som gyldigt af Windows.
Defender deaktiveres straks – uden aktiv beskyttelse
Når det falske antivirusprogram er registreret korrekt, deaktiveres Microsoft Defender omgående. Dette efterlader systemet helt uden aktiv realtidsbeskyttelse.
Værktøjet indeholder også en loader, som indlæser konfigurationsdata via en fil kaldet ctx.bin. Her kan brugeren:
- Navngive det falske antivirusprogram
- Aktivere eller deaktivere registrering
- Aktivere detaljeret logføring (verbose logging)
Automatisk opstart via Windows Task Scheduler
For at sikre vedvarende effekt efter genstart, opretter Defendnot en autorun-opgave via Windows Task Scheduler, hvilket medfører, at værktøjet starter automatisk, hver gang brugeren logger ind på Windows.
Microsofts reaktion og detektering
Selvom Defendnot er præsenteret som et forskningsprojekt, demonstrerer det tydeligt, hvordan ellers betroede og legitime systemfunktioner kan manipuleres til at deaktivere kritiske sikkerhedsfunktioner som Microsoft Defender.
Microsoft har allerede reageret ved at begynde at detektere og sætte værktøjet i karantæne som:
"Win32/Sabsik.FL.!ml"
Kilde: Microsoft Defender
Kilde: ICARE.DK
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner/#: #Defendnot, #MicrosoftDefender, #WindowsSecurityCenter, #APIManipulation, #Taskmgr, #cybersikkerhed, #es3n1n
Copyrights: Ⓒ 2025 Copyright byy ICARE.DK – kan deles ved aktivt link til denne artikel.
