Una nueva herramienta llamada "Defendnot" puede desactivar Microsoft Defender en dispositivos Windows registrando un antivirus falso, incluso sin un antivirus real instalado.
El truco utiliza una API no documentada del Centro de Seguridad de Windows (WSC) que el software antivirus utiliza para indicar a Windows que está instalado y que ahora administra la protección en tiempo real del dispositivo.
Cuando se registra un programa antivirus, Windows desactiva automáticamente Microsoft Defender para evitar conflictos al ejecutar varias aplicaciones de seguridad en el mismo dispositivo. La herramienta DefendNot, creada por el investigador es3n1n, abusa de esta API registrando un antivirus falso que cumple con todas las comprobaciones de validación de Windows.
La herramienta se basa en un proyecto anterior llamado "no-defender", que utilizaba código de un antivirus de terceros para suplantar el registro en WSC. Esta herramienta anterior fue retirada de GitHub después de que el proveedor presentara una solicitud de retirada por DMCA.
"Luego, unas semanas después del lanzamiento, el proyecto se disparó y obtuvo aproximadamente 1.500 estrellas. Después, los desarrolladores del antivirus que usaba presentaron una solicitud de eliminación por DMCA y, como no quería hacer nada al respecto, simplemente borré todo y lo dejé todo", explica el desarrollador en una entrada de blog.
Defendnot evita problemas de derechos de autor desarrollando la funcionalidad desde cero mediante una DLL de antivirus ficticia.
Normalmente, la API de WSC se protege mediante Protected Process Light (PPL), firmas digitales válidas y otras funciones. Para eludir estos requisitos, Defendnot inyecta su DLL en un proceso del sistema, Taskmgr.exe, firmado y de confianza por Microsoft. Desde ese proceso, puede registrar el antivirus ficticio con un nombre falso.
Una vez registrado, Microsoft Defender se desactiva automáticamente, dejando sin protección activa el dispositivo.
La herramienta también incluye un cargador que envía datos de configuración mediante un archivo ctx.bin y permite configurar el nombre del antivirus, desactivar el registro y habilitar el registro detallado.
Para mayor persistencia, Defendnot crea una ejecución automática a través del Programador de tareas de Windows para que se inicie al iniciar sesión en Windows.
Si bien Defendnot se considera un proyecto de investigación, la herramienta demuestra cómo se pueden manipular las funciones de confianza del sistema para desactivar las funciones de seguridad.
NOTA: Microsoft Defender detecta y pone en cuarentena Defendnot como una detección 'Win32/Sabsik.FL.!ml;'.
Fuente: BC