„Defendnot”: Cum un fals antivirus păcălește Windows-ul și dezactivează Microsoft Defender
Într-o eră în care securitatea digitală este mai importantă ca niciodată, un nou instrument de tip proof-of-concept ridică semnale de alarmă în comunitatea de securitate cibernetică. Numele său este Defendnot, iar ceea ce reușește să facă este atât ingenios, cât și îngrijorător: păcălește sistemul de operare Windows să dezactiveze propriul său antivirus de bază, Microsoft Defender, fără a instala efectiv un alt program antivirus. Acest truc exploatează un mecanism intern al sistemului de operare și scoate la lumină potențiale vulnerabilități în modul în care Windows gestionează aplicațiile de securitate.
Defendnot se bazează pe un API nedocumentat din Windows Security Center (WSC), un serviciu care gestionează informațiile despre soluțiile de securitate instalate pe sistem. În mod normal, atunci când un software antivirus se înregistrează în WSC, Windows oprește Microsoft Defender pentru a evita conflictele între aplicațiile de protecție în timp real. Această funcționalitate este esențială pentru compatibilitatea între soluțiile antivirus, dar poate fi exploatată, așa cum a demonstrat Defendnot.
Instrumentul creat de cercetătorul cunoscut sub pseudonimul es3n1n se folosește de această lacună pentru a înregistra un antivirus fals care îndeplinește toate cerințele de validare ale Windows. Nu este nevoie de un antivirus real — este suficient ca sistemul să creadă că unul este prezent. Defendnot folosește o bibliotecă DLL falsă, injectată într-un proces de sistem de încredere (în acest caz, Taskmgr.exe), pentru a obține permisiunile necesare înregistrării.
Odată ce „antivirusul” fictiv este înregistrat, Microsoft Defender se oprește imediat, lăsând sistemul fără protecție activă. Astfel, atacatorii ar putea exploata acest moment de vulnerabilitate pentru a lansa atacuri malware fără a fi detectați.
De la proiect de cercetare la potențial risc major
Deși Defendnot este prezentat ca un proiect de cercetare, impactul său nu poate fi ignorat. Instrumentul este o continuare a unui proiect mai vechi, numit no-defender, care a fost șters de pe GitHub în urma unei cereri DMCA depusă de un furnizor de antivirus ale cărui coduri erau folosite pentru a simula înregistrarea. Spre deosebire de predecesorul său, Defendnot nu reutilizează cod protejat de drepturi de autor, ci își construiește funcționalitatea de la zero, evitând astfel problemele legale.
Instrumentul include și un loader care folosește un fișier de configurare (ctx.bin) pentru a seta numele „antivirusului” afișat, a activa logarea detaliată sau a dezactiva înregistrarea. Pentru a persista după repornirea sistemului, Defendnot creează o sarcină automată în Windows Task Scheduler, activându-se la fiecare logare a utilizatorului.
Această demonstrație scoate la lumină o problemă serioasă: chiar și funcții considerate sigure și protejate — precum cele gestionate prin semnături digitale și procese privilegiate — pot fi manipulate de atacatori sofisticați.
Răspunsul Microsoft și măsurile de protecție
În urma publicării acestui instrument, Microsoft Defender a început să detecteze Defendnot sub denumirea Win32/Sabsik.FL.!ml, ceea ce înseamnă că încearcă să prevină execuția sa în mod proactiv. Cu toate acestea, faptul că un astfel de instrument a reușit să funcționeze fără a fi blocat inițial ridică semne de întrebare cu privire la robustețea actuală a sistemului de protecție oferit de Windows.
Pentru utilizatori, este esențial să înțeleagă că simpla prezență a Microsoft Defender nu garantează protecția absolută, mai ales în fața unor metode avansate de evitare a detecției. Actualizarea constantă a sistemului de operare, utilizarea unei soluții antivirus de încredere și prudența în descărcarea și rularea fișierelor sunt pași esențiali în menținerea securității digitale.
În concluzie, Defendnot nu este un simplu experiment: este o demonstrație clară a modului în care mecanismele de securitate pot fi subminate din interior. Pe măsură ce atacatorii devin din ce în ce mai creativi, este crucial ca și dezvoltatorii de sisteme de operare și software antivirus să țină pasul cu metodele emergente de ocolire a protecției. Altfel, riscul de a rămâne complet descoperiți — chiar și atunci când credem că suntem protejați — devine o realitate tot mai prezentă.
