DefendNot es una nueva herramienta sofisticada que desactiva efectivamente el defensor de Windows al registrarlo como una solución antivirus legítima utilizando la API de Windows Security Center (WSC).
El servicio de Windows Security Center está diseñado para ayudar a las computadoras de Windows a mantener la seguridad adecuada.
Una vez que se instala un software antivirus de terceros, se registrará con WSC y deshabilitará automáticamente el defensor de Windows para evitar conflictos.
Desarrollado por un desarrollador de GitHub conocido como “ES3N1N”, la herramienta es notable por su interacción directa con WSC sin depender del código de productos antivirus existentes.
Este lanzamiento se produce aproximadamente un año después de la herramienta anterior del desarrollador, “No-Defender”, fue eliminado después de la solicitud de eliminación de DMCA.
“Hay un servicio WSC (Windows Security Center) en Windows, y debería usar antivirus para que Windows sepa que hay otros antivirus en el capó y deshabilitar a los defensores”, compartió el desarrollador en un informe con Cyber Security News.
“Esta API WSC no está documentada y deberá firmar el NDA con Microsoft para recuperar el documento”.
Defendnot deshabilitar el defensor de Windows
Según una publicación de blog detallada del desarrollador, la creación de DefendNot incluye una amplia ingeniería inversa de servicios WSC e identificando los mecanismos de verificación de procesos que Microsoft emplea.
El proyecto enfrentó importantes desafíos técnicos, que incluyen permitir que WSC comprenda cómo validar el proceso de llamadas antes de registrarlo como una solución antivirus.
Un hallazgo importante fue realizar una verificación del proceso que WSC intenta registrarse. Esto incluye verificar el indicador Image_DllCharacteristics_Force_ingrity en el encabezado PE y examinar la firma digital.
El administrador de tareas (taskmgr.exe) cumple con estos requisitos y puede usarse como un “proceso de víctima” para alojar el código DefendNot.
Esta herramienta interactúa con el WSC utilizando la interfaz COM y registra productos antivirus fantasma. Cuando Windows detecta este “antivirus”, la protección incorporada se deshabilitará automáticamente.
Los investigadores de seguridad señalaron que Dorman destacó la herramienta en las redes sociales, “utilizando esta técnica tiene el efecto de simplemente deshabilitar los defensores de Microsoft”.
Técnicamente, DefendNot implementa interfaces para interactuar con WSC como IWSCProductList, y utiliza API indocumentadas de Windows que Microsoft normalmente comparte solo con proveedores de antivirus certificados bajo el NDA a través del programa Microsoft Virus Initiative (MVI).
La herramienta contiene varios comandos.
Una limitación que el desarrollador señaló es: “Para mantener esta cosa de WSC después de un reinicio, se agrega Autorun.
Si bien la herramienta demuestra un conocimiento técnico impresionante y habilidades de ingeniería inversa, los expertos en seguridad advierten que tales utilidades podrían ser mal utilizados por los autores de malware que buscan deshabilitar las protecciones de seguridad.
Sin embargo, vale la pena señalar que DefendNot requiere privilegios administrativos para funcionar y limita la posibilidad de implementación secreta.
Para los investigadores y administradores de seguridad, esta herramienta proporciona una valiosa información sobre cómo Windows administra la integración de productos de seguridad y destaca las áreas potenciales donde la arquitectura de seguridad de Microsoft puede fortalecerse para evitar omitidos similares en el futuro.
¿Configuración del equipo de SOC? – Descargue la Guía de precios de SIEM Ultimate (PDF) gratuita para equipos SOC -> Descarga gratuita
