חוקר המכונה ES3N1N פיתח כלי בשם DefendNot המסוגל להערים על מחשב Windows להשבית את Microsoft Defender, ולהשאיר את המכשיר ללא הגנה לחלוטין נגד תוכנות זדוניות.
על ידי רישום מוצר אנטי-וירוס מזויף, Defendnot משכנע את מיקרוסופט לכבות את תוכנת האנטי-וירוס המובנית שלה כדי למנוע מתנגשות כלשהי בין שתי תוכניות האבטחה.
כפי שפורסם על ידי Dleeping Computer, Defendnot יכול לעשות זאת גם כאשר אין תוכנת אנטי-וירוס בפועל המותקנת במחשב על ידי שימוש בממשק API לא מתועד במרכז האבטחה של Windows (WSC)-אותה אחת המשמשת את תוכנת האנטי-וירוס הלגיטימית-כדי ליידע את Windows כי היא מתקינה כראוי ומטפלת בהגנה בזמן אמת למערכת.
ואז, לאחר מספר שבועות לאחר השחרור, הפרויקט התפוצץ לא מעט וצבר ~ 1.5K כוכבים, לאחר מכן, מפתחי האנטי -וירוס בהם השתמשתי הגישו בקשת הסרת DMCA ולא ממש רציתי לעשות כלום עם זה אז פשוט מחק הכל וקראתי לזה יום.
לאחר השלמת שלב ההרשמה, המגן יסגר את עצמו מייד כדי למנוע בעיות כלשהן, וישאיר את המחשב ללא הגנה מפני אנטי -וירוס פעילה. הכלי SefendNot כולל גם מטעין המעביר נתוני תצורה דרך קובץ ctx.bin, ומאפשר למשתמשים להגדיר את שם תוכנת האנטי -וירוס המזויפת לכל דבר שהם אוהבים. DefendNot ייצר אוטומטית באמצעות לוח הזמנים של המשימות, כך שהוא מתחיל כשאתה נכנס ל- Windows.
זה מבוסס על פרויקט קודם, החוקר בשם "No-Depender", שהניח את היסודות באמצעות קוד מתוכנת אנטי-וירוס של צד שלישי כדי לזייף את רישום מרכז האבטחה של Windows. עם זאת, הספק של אותה תוכנה הגיש בקשת הסרת DMCA, שהביאה לכך שהיא נמשכה מ- GitHub.
לעומת זאת, סנגור, נלמד מכך ובנה את הפונקציונליות האנטי-וירוס מאפס דרך DLL דמה, מה שגורם להפרת זכויות יוצרים. זה מזריק DLL לתהליך מערכת Microsoft, Taskmgr.exe, שנחתם וכבר מהימן. בתהליך זה הוא יכול לרשום את האנטי -וירוס הדמה עם כל שם תצוגה מזויף.
למרות שמדובר בפרויקט מחקר, Defendnot מדגים כמה קל יכול להיות להפוך תכונות מערכת מהימנות לנושאי אבטחה; נכון לעכשיו, Microsoft Defender מגלה ומסגר את ההסגרות כטרויאניות המבוססות על אלגוריתם למידת מכונה משלה.
איך להישאר בטוחים
מכיוון ש- Defendnot הוא פרויקט מחקר – וכבר הוסגר על ידי Defender – הוא לא מסכן כרגע מערכות מסוימות. אין גם פרטים על אופן הפעולה של Defendnot במחשב שמריץ תוכנת אנטי-וירוס של צד שלישי בנוסף ל- Windows Defender.
עם זאת, משתמשים שרוצים את רמת ההגנה הטובה ביותר למחשבי Windows שלהם צריכים תמיד להשתמש באחת מתוכנות האנטי-וירוס הטובות ביותר וההגנה המובנית המסופקת על ידי Windows Defender. סוויטות אבטחה אלה מספקות בדרך כלל הגנה מצוינת בתוכנות זדוניות ותכונות נוספות כמו בקרות הורים, VPN ומנהל סיסמאות שיכולים לעזור לך לשמור על בטיחותך בזמן המקוון.
