Defendnot」と呼ばれる新しいツールは、本物のアンチウイルス製品がインストールされていなくても、偽のアンチウイルス製品を登録することで、Windowsデバイス上のMicrosoft Defenderを無効にすることができる。
この手口は、ウイルス対策ソフトウェアがWindowsにインストールされていることを伝え、デバイスのリアルタイム保護を管理するために使用する、文書化されていないWindowsセキュリティセンター(WSC)APIを利用する。
ウイルス対策プログラムが登録されると、Windowsは自動的にMicrosoft Defenderを無効にし、同じデバイス上で複数のセキュリティ・アプリケーションを実行することによる競合を回避する。
研究者es3n1nによって作成されたDefendnotツールは、Windowsのすべての検証チェックを満たす偽のウイルス対策製品を登録することによって、このAPIを悪用している。
このツールはno-defenderと呼ばれる以前のプロジェクトに基づいており、サードパーティのウイルス対策製品のコードを使ってWSCへの登録を偽装していた。この以前のツールは、ベンダーがDMCAテイクダウンを申請した後、GitHubから削除された。
「その後、私が使用していたアンチウイルスの開発者がDMCAテイクダウン要求を提出したため、私は何もしたくありませんでした。
Defendnotは、ダミーのウイルス対策DLLを使ってゼロから機能を構築することで、著作権問題を回避している。
通常、WSC APIはProtected Process Light(PPL)、有効なデジタル署名、その他の機能によって保護されている。
これらの要件をバイパスするために、Defendnotは、署名され、Microsoftによって既に信頼されているシステムプロセス、Taskmgr.exeにDLLを注入する。そのプロセス内から、なりすました表示名でダミーのアンチウイルスを登録することができる。
一旦登録されると、Microsoft Defender は直ちに自身をシャットダウンし、デバイス上にアクティブな保護は残りません。
Source :
このツールには、ctx.bin ファイルを介して設定データを渡すローダーも含まれており、使用したいアンチウイルス名を設定したり、登録をオフにしたり、冗長ロギングを有効にしたりすることができます。
永続性のために、Defendnotは、Windowsにログインしたときに起動するように、Windowsタスクスケジューラを介して自動実行を作成します。
Defendnotは研究プロジェクトと考えられているが、このツールは、信頼されたシステム機能をどのように操作してセキュリティ機能をオフにできるかを実証している。
Microsoft Defender は現在、Defendnot を「Win32/Sabsik.FL.ml; 検出」として検出し、隔離しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments