Nové riziko pro Windows PC: Nástroj Defendnot deaktivuje vestavěný bezpečnostní systém

Všechny moderní počítače s Windows mají integrovaný Microsoft Defender, nativní antivirový nástroj systému Windows.

Postupem času se vyvinul v spolehlivý bezpečnostní nástroj schopný blokovat širokou škálu hrozeb. Nástroj s názvem Defendnot však dokáže Microsoft Defender zcela vypnout, aniž by využíval chybu nebo malware. Jednoduše přesvědčí Windows, že jiný antivirový program již běží.

Důsledky jsou závažné. Tento nástroj se neprolomí do systému ani nepoužívá pokročilé vkládání kódu. Využívá funkce Windows tak, jak byly navrženy. A to činí problém obtížněji detekovatelným a opravitelným.

Windows je navržen tak, aby se vyhnul současnému spuštění více antivirových produktů. Když se zaregistruje antivirový program třetí strany, Windows zakáže Microsoft Defender, aby se předešlo konfliktům. Defendnot využívá tento systém pomocí nedokumentovaného rozhraní API, které bezpečnostní software používá ke komunikaci s Bezpečnostním centrem Windows.

Nástroj zaregistruje falešný antivirový program, který se systému jeví jako legitimní. Používá fiktivní DLL soubor a vloží jej do Správce úloh, důvěryhodného procesu Windows. Pracováním uvnitř tohoto podepsaného procesu Defendnot obejde kontroly podpisů a blokování oprávnění. Jakmile je falešný antivirový program registrován, Windows zakáže Microsoft Defender bez varování nebo potvrzení.

Uživateli se nezobrazí žádné bezpečnostní upozornění. Nejsou provedeny žádné viditelné změny, které by naznačovaly, že systém není chráněn. Pokud někdo ručně nezkontroluje, stroj zůstane otevřený útokům bez spuštěné ochrany v reálném čase.

Nástroj také obsahuje možnosti nastavení vlastního názvu antiviru, povolení protokolování a konfigurace automatického spuštění. Dosahuje perzistence vytvořením naplánované úlohy, která se spustí pokaždé, když se uživatel přihlásí.

Defendnot je založen na dřívějším projektu s názvem No-Defender. Tento projekt používal k falšování registrace kód z aktuálního antivirového produktu. Rychle si získal pozornost a byl odstraněn po stížnosti na porušení autorských práv od dodavatele, jehož kód byl znovu použit. Vývojář projekt stáhl a stáhl se z něj.

S Defendnotem tvůrce přestavěl základní funkce pomocí originálního kódu. Tato verze se vyhýbá problémům s autorskými právy a používá novou metodu k dosažení stejného efektu. Nespoléhá se na jiný antivirový program ani na binární soubory třetích stran. Byl napsán od začátku, aby demonstroval, jak jednoduché je manipulovat s bezpečností Windows zevnitř systému.

Microsoft Defender v současné době označuje nástroj jako hrozbu. Detekuje a karanténuje jej pod názvem Win32/Sabsik.FL.!ml. Skutečnost, že to vůbec funguje, však poukazuje na slabinu v tom, jak Windows zpracovává registraci antiviru a důvěru.

I když je Defendnot výzkumný projekt, existuje šance, že podobné nástroje již existují a mohly by být použity k ohrožení vašeho počítače. Zde je několik tipů, jak se chránit:

1. Používejte silný antivirový software: I s pravidelnými aktualizacemi mohou být systémy Windows vystaveny nástrojům, jako je Defendnot, které potichu zakáží vestavěné obranné mechanismy. Silný antivirový program od třetí strany s ochranou v reálném čase a častými aktualizacemi poskytuje nezbytnou záložní ochranu.

2. Omezení expozice: Mnoho exploitů se spoléhá na interakci uživatele, například na kliknutí na podezřelý odkaz, stažení kompromitovaného souboru nebo připojení nedůvěryhodného virtuálního disku. Držte se renomovaných webových stránek, vyhýbejte se otevírání nechtěných e-mailových příloh a používejte prohlížeč s integrovanými bezpečnostními funkcemi (jako Microsoft Edge nebo Chrome s aktivovaným Safe Browsing).

3. Vyhněte se spouštění neočekávaných příkazů: Nikdy nevkládejte ani nespouštějte příkazy (jako skripty PowerShell), kterým nerozumíte nebo které byly zkopírovány z náhodných webových stránek. Útočníci často tímto způsobem oklamou uživatele, aby nevědomě spustili malware.

4. Udržujte svůj software aktualizovaný: Pravidelně aktualizujte operační systém, prohlížeče a všechny softwarové aplikace. Aktualizace často zahrnují opravy bezpečnostních zranitelností, které malware může zneužívat.

5. Používejte dvoufaktorovou autentizaci (2FA): Povolte 2FA na všech svých účtech. To přidá další vrstvu zabezpečení tím, že vyžaduje druhou formu ověření, čímž se ztěžuje útočníkům získat přístup, i když mají vaše heslo.

Defendnot poukazuje na větší problém s tím, jak Windows zpracovává zabezpečení. Bere funkci určenou k prevenci softwarových konfliktů a promění ji v způsob, jak zcela deaktivovat ochranu. Systém předpokládá, že jakýkoli registrovaný antivirový program je legitimní, takže pokud útočníci dokáží toto zfalšovat, dostanou se dovnitř bez většího odporu.

Často si myslíme, že zabezpečení spočívá v blokování špatných věcí a důvěře v ty dobré. Tento případ však ukazuje, co se stane, když je tato důvěra mylná. Defendnot se nepropašuje přes obranu Windows. Prochází přímo dovnitř pomocí platných pověření. Řešení není jen více záplat nebo silnějších podpisů malwaru. Potřebujeme chytřejší způsob, jak systémy poznají, co je skutečně bezpečné.