Một công cụ mới có tên Defendnot có thể vô hiệu hóa Microsoft Defender trên các thiết bị Windows bằng cách đăng ký một phần mềm diệt virus giả, ngay cả khi không có bất kỳ phần mềm antivirus nào thực sự được cài đặt.
Thủ thuật này khai thác một API chưa được công bố chính thức của Windows Security Center (WSC) – vốn được các phần mềm antivirus sử dụng để thông báo với Windows rằng chúng đã được cài đặt và đang quản lý tính năng bảo vệ theo thời gian thực của thiết bị.
Khi một chương trình diệt virus được đăng ký, Windows sẽ tự động tắt Microsoft Defender để tránh xung đột giữa các phần mềm bảo mật đang chạy song song.
Công cụ Defendnot, do nhà nghiên cứu có biệt danh es3n1n phát triển, đã lợi dụng API này bằng cách đăng ký một chương trình antivirus giả, đáp ứng đầy đủ các yêu cầu xác thực của Windows.
Công cụ này được phát triển dựa trên một dự án trước đó có tên no-defender, sử dụng mã từ phần mềm antivirus bên thứ ba để giả mạo đăng ký với WSC. Tuy nhiên, dự án trước đã bị gỡ khỏi GitHub sau khi nhà cung cấp phần mềm đó gửi yêu cầu gỡ bỏ theo luật bản quyền DMCA.
“Sau vài tuần kể từ khi phát hành, dự án trở nên khá phổ biến và đạt khoảng 1.500 lượt sao trên GitHub. Sau đó, nhà phát triển phần mềm antivirus mà tôi dùng để giả mạo đã nộp yêu cầu gỡ bỏ theo DMCA. Tôi cũng không muốn dây dưa nên đã xóa mọi thứ và bỏ luôn dự án,” nhà phát triển chia sẻ trên blog cá nhân.
Defendnot tránh được các vấn đề bản quyền bằng cách tự xây dựng chức năng từ đầu, sử dụng một DLL antivirus giả lập.
Thông thường, API của WSC được bảo vệ thông qua Protected Process Light (PPL), chữ ký số hợp lệ và các cơ chế bảo mật khác. Tuy nhiên, Defendnot yêu cầu quyền quản trị (admin) để có thể tiêm mã DLL vào một tiến trình hệ thống – cụ thể là Taskmgr.exe – vốn đã được Microsoft tin cậy và ký số.
Sau khi tiêm mã thành công, công cụ có thể đăng ký chương trình antivirus giả với tên hiển thị tùy chỉnh. Ngay lập tức, Microsoft Defender sẽ tự động tắt, khiến thiết bị không còn bất kỳ lớp bảo vệ nào đang hoạt động.
📸 Ảnh: Giao diện đăng ký Defendnot trên thiết bị
(Nguồn: BleepingComputer)
Công cụ này cũng bao gồm một trình nạp (loader), cho phép cấu hình thông qua tập tin ctx.bin, nơi người dùng có thể thiết lập tên phần mềm antivirus giả, tắt chế độ đăng ký, hoặc bật chế độ ghi log chi tiết.
Để duy trì hoạt động lâu dài, Defendnot tạo một tác vụ tự động chạy thông qua Windows Task Scheduler, đảm bảo công cụ sẽ khởi động mỗi khi người dùng đăng nhập vào Windows.
Mặc dù Defendnot được tuyên bố là một dự án nghiên cứu, nhưng nó cho thấy cách các tính năng hệ thống đáng tin cậy có thể bị lạm dụng để vô hiệu hóa các biện pháp bảo mật.
Hiện tại, Microsoft Defender đã phát hiện và cách ly Defendnot với định danh:
Win32/Sabsik.FL.!ml