Створений ІБ-дослідником інструмент Defendnot здатний відключити захист Microsoft Defender на пристроях під управлінням Windows, зареєструвавши в системі підроблений антивірусний продукт, навіть якщо справжній антивірус не встановлено.

Defendnot створений ІБ-експертом із ніком es3n1n і зловживає недокументованим API Windows Security Center (WSC), реєструючи в системі підроблений антивірусний продукт, який може пройти всі перевірки Windows.

Експерт пояснює, що антивірусне ПЗ використовує API WSC, щоб повідомити Windows, що воно встановлене і тепер керує захистом пристрою в режимі реального часу. Після реєстрації антивірусної програми, Windows автоматично відключає Microsoft Defender, щоб уникнути конфліктів, які можуть виникати під час запуску декількох захисних рішень на одному пристрої.

Новий інструмент заснований на попередньому проєкті es3n1n – no-defender, який використовував код зі стороннього антивірусного продукту для спуфінгу реєстрації у WSC. Попередній інструмент було видалено з GitHub після того, як виробник антивіруса подав DMCA-скаргу.

“Через кілька тижнів після релізу проєкт злетів і набрав близько 1500 зірок, після чого розробники антивіруса, який я використовував, подали DMCA-скаргу. Я не став нічого з цим робити, просто видалив і поставив крапку”, – пояснює дослідник у своєму блозі.

Крім того, до складу утиліти входить завантажувач, що передає конфігураційні дані через файл ctx.bin і дає змогу задати ім’я використовуваного антивірусу, вимкнути реєстрацію і ввімкнути ведення докладних логів.

Для забезпечення сталості Defendnot проникає в автозапуск через Планувальник завдань, що дає змогу йому запускатися під час кожного входу в Windows.

Варто зазначити, що в даний час Microsoft Defender виявляє Defendnot і поміщає його в карантин з позначкою Win32/Sabsik.FL.!ml.