У сфері кібербезпеки виявлено критичну вразливість операційної системи Windows, яка дозволяє зловмисникам повністю деактивувати вбудований захист Microsoft Defender. Новий інструмент Defendnot демонструє можливість обходу системи безпеки через недокументовані функції Windows Security Center (WSC), що викликає серйозне занепокоєння серед фахівців з інформаційної безпеки.
Технічний аналіз механізму роботи Defendnot
Defendnot використовує складний механізм експлуатації недокументованого WSC API для емуляції встановлення легітимного антивірусного програмного забезпечення. Особливу небезпеку становить здатність інструменту успішно обходити вбудовані механізми захисту Windows, включаючи Protected Process Light (PPL) та систему перевірки цифрових підписів.
Ключовим елементом атаки є впровадження спеціалізованої DLL-бібліотеки у довірений системний процес Taskmgr.exe, що дозволяє здійснювати реєстрацію фіктивного антивірусного продукту від імені процесу з легітимним цифровим підписом Microsoft.
Розширені можливості та механізми персистентності
Інструмент відрізняється гнучкою системою налаштування через конфігураційний файл ctx.bin, що забезпечує широкі можливості кастомізації, включаючи налаштування імені емульованого антивірусного продукту та керування системою логування. Для забезпечення довготривалого впливу Defendnot використовує механізм автозапуску через планувальник завдань Windows.
Еволюція загрози та заходи протидії
Defendnot є вдосконаленою версією раніше виявленого інструменту no-defender, який був видалений з GitHub через порушення авторських прав. Нова реалізація використовує оригінальний код, що ускладнює правові механізми протидії його розповсюдженню.
Наразі Microsoft Defender успішно виявляє Defendnot як потенційно шкідливе програмне забезпечення під класифікацією Win32/Sabsik.FL.!ml. Для захисту від подібних загроз критично важливо підтримувати актуальність антивірусних баз даних та своєчасно встановлювати оновлення системи безпеки. Фахівцям з інформаційної безпеки рекомендується посилити моніторинг систем на предмет несанкціонованих змін у конфігурації захисного програмного забезпечення та впровадити додаткові механізми контролю за системними процесами.
