Исследователь в области безопасности es3n1n представил новый инструмент под названием Defendnot, который позволяет отключать встроенный антивирус Microsoft Defender, используя скрытый API “Центра безопасности Windows” (WSC). Этот API предназначен для управления регистрацией антивирусных программ в системе, и Defendnot успешно имитирует установку поддельного антивируса, тем самым обманывая защиту в системе.
Инструмент Defendnot внедряет фиктивную DLL антивируса в системный процесс Taskmgr.exe, который подписан Microsoft. Это позволяет обходить защиту “Protected Process Light” (PPL) и требования к цифровым подписям, что приводит к мгновенному отключению Defender. Инструмент также предлагает дополнительные настройки, включая возможность задания имени фальшивого продукта через конфигурационный файл ctx.bin и автозапуск при каждом входе в систему через Планировщик задач Windows.
Ранее es3n1n работал над проектом no-defender, цель которого также заключалась в отключении Defender. Однако этот проект был закрыт после жалобы, связанной с нарушением закона DMCA. В новой версии инструмента es3n1n избежал юридических рисков, создав функциональность с нуля, что выделяет Defendnot как инновационный продукт в данной области.
По информации издания BleepingComputer, хакеры ранее пытались отключать антивирус, используя различные методы, включая права администратора и изменения в реестре. Они часто применяли сложные техники, чтобы обойти защиту системы. Например, в мае инженеры Microsoft устранили более 70 уязвимостей в Windows, обновления которых были направлены на укрепление безопасности ОС.
Несмотря на исследовательский характер проекта, Defendnot подчеркивает уязвимости в системе защиты Windows и демонстрирует возможность использования доверенных процессов для деактивации антивируса. Microsoft уже пометила Defendnot как угрозу, но история использования Defender для блокировки безопасных файлов также вызывает определённые вопросы о его точности и надежности.
Это свидетельствует о рисках, связанных с агрессивностью системы детектирования и подчеркивает необходимость постоянного улучшения механизмов защиты Windows. Ближайшие обновления Microsoft могут включать исправления, направленные на решение этих проблем и минимизацию угроз, подобных Defendnot.