Windows 10/11 自带的 Microsoft Defender 防病毒软件为默认运行状态,但如果其检测到用户安装其他安全软件例如卡巴斯基,则会自动禁用防止与其他安全软件发生冲突。因此此前有不少开发者尝试通过注册虚假的安全软件来关闭 Microsoft Defender,该防病毒软件存在较高的误报率以及可能对激活脚本或其他破解工具执行查杀,所以不少用户希望关闭该防病毒软件。
黑客当然也同样希望关闭 Microsoft Defender,只要关闭后就可以在目标系统上为所欲为,在没有其他安全软件的干扰下黑客执行恶意操作就不需要小心翼翼,可以轻松完成各种恶意操作。
这个虚假的安全软件注册名称显示为 hello readme:)
日前化名为 es3n1n 的安全研究人员公布名为 Defendnot 的新工具,该工具利用以前从未记录过的 WSC API 实现禁用 Microsoft Defender,WSC API 允许安全软件开发商告知操作系统已经安全软件在运行,所以需要自动禁用 Microsoft Defender。
这个新工具发布后立即爆红,但随后因为 DMCA 投诉而被删除,事实证明想要直接创建工具禁用 Microsoft Defender 是很难的,至少得使用确实是安全软件的代码才能调用 WSC API。
Defendnot 其实是使用某个安全软件的代码,并将名为 no-defender 的程序伪装成在 WSC 中注册的应用程序,被使用代码的这家安全软件应该也很快注意到 Defendnot,分析后发现吃瓜竟然吃到自己头上,于是火速发送 DMCA 通知函删除了该项目。
es3n1n 于是从头开始使用虚拟防病毒 DLL 构建 Defendnot 并成功实现禁用功能,新版本还具备自动启动和运行,设置开机自启动后可以随着 Windows 一起启动运行。
这款工具的设计目标主要是研究目的,并非恶意用途或普通用户用来禁用 Microsoft Defender,不过黑客确实可以使用该工具进行恶意行为,很难说后续这个小工具是否会被滥用。
当然微软情报威胁团队肯定也注意到了这种情况,目前 Microsoft Defender 已经可以检测 Defendnot 并将其自动隔离,标注的恶意类型为 Win32/Sabsik.FL.A!ml 木马 (含义:此威胁可以在您的设备上执行恶意行为者选择的多种操作)