เครื่องมือใหม่ที่ชื่อว่า 'Defendnot' สามารถปิดการทำงานของ Microsoft Defender บนอุปกรณ์ Windows ได้ โดยการลงทะเบียนโปรแกรม Antivirus ปลอม แม้ว่าจะไม่มี Antivirus จริงติดตั้งอยู่ก็ตาม
เทคนิคนี้ใช้ประโยชน์จาก API ของ Windows Security Center (WSC) ที่ไม่ได้มีการเปิดเผยทางเอกสาร โดยปกติแล้ว Antivirus จะใช้เพื่อแจ้งให้ Windows ทราบว่ามีการติดตั้งแล้ว และกำลังจัดการการป้องกันแบบ Real-time สำหรับอุปกรณ์นั้น
เมื่อมีการลงทะเบียนโปรแกรม Antivirus ปลอมแล้ว ระบบของ Windows จะปิดการทำงานของ Microsoft Defender โดยอัตโนมัติ เพื่อหลีกเลี่ยงความขัดแย้งจากการที่มีแอปพลิเคชันรักษาความปลอดภัยหลายตัวบนอุปกรณ์เดียวกัน
เครื่องมือ Defendnot ที่ถูกสร้างโดยนักวิจัยที่ชื่อว่า es3n1n ใช้ช่องโหว่ของ API ดังกล่าว โดยทำการลงทะเบียนผลิตภัณฑ์ Antivirus ปลอมที่ผ่านการตรวจสอบความถูกต้องของ Windows ได้ทั้งหมด
เครื่องมือนี้มีพื้นฐานมาจากโปรเจกต์ก่อนหน้านี้ที่ชื่อว่า no-defender ซึ่งใช้โค้ดจากโปรแกรม Antivirus ของ third-party อื่น เพื่อปลอมแปลงการลงทะเบียนกับ WSC (Windows Security Center) อย่างไรก็ตาม เครื่องมือเวอร์ชั่นก่อนหน้านั้นถูกลบออกจาก GitHub หลังจากที่ผู้พัฒนา Antivirus รายนั้น ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA (แจ้งให้ลบเนื้อหาเนื่องจากละเมิดลิขสิทธิ์)
นักพัฒนา ระบุไว้ใน blog post ว่า "หลังจากเปิดตัวไปไม่กี่สัปดาห์ โปรเจกต์นี้ก็ได้รับความสนใจอย่างมาก และได้รับดาว (stars) บน GitHub ไปประมาณ 1,500 ดวง หลังจากนั้น นักพัฒนาโปรแกรม Antivirus ที่ถูกใช้ ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA และตัวเขาก็ไม่อยากจะไปยุ่งเกี่ยวกับเรื่องนั้นอีก ก็เลยลบทุกอย่างทิ้งแล้วก็จบเรื่องไป"
Defendnot หลีกเลี่ยงปัญหาลิขสิทธิ์ด้วยการสร้างฟังก์ชันการทำงานขึ้นมาใหม่ทั้งหมดผ่านไฟล์ DLL ของโปรแกรม Antivirus ปลอม
โดยปกติแล้ว WSC API จะได้รับการป้องกันผ่านระบบ Protected Process Light (PPL), digital signatures ที่ถูกต้อง และคุณสมบัติอื่น ๆ
เพื่อหลีกเลี่ยงข้อกำหนดเหล่านี้ Defendnot จะทำการแทรกไฟล์ DLL ของตนเองเข้าไปยังโปรเซสของระบบที่ชื่อว่า Taskmgr.exe ซึ่งเป็นโปรเซสที่ signed จาก Microsoft และได้รับความน่าเชื่อถืออยู่แล้ว จากภายในโปรเซสนั้น และ Defendnot ก็จะสามารถลงทะเบียนโปรแกรม Antivirus ปลอมด้วยชื่อที่แสดงผลที่ถูกปลอมแปลงขึ้นมาได้
เมื่อมีการลงทะเบียนแล้ว Microsoft Defender จะปิดการทำงานของตัวเองทันที ทำให้อุปกรณ์นั้นจะไม่มีระบบป้องกันใด ๆ ทำงานอยู่เลย
เครื่องมือนี้ยังมาพร้อมกับ Loader ที่รับข้อมูลการกำหนดค่าผ่านไฟล์ที่ชื่อ ctx.bin ซึ่งจะช่วยให้สามารถกำหนดชื่อของ Antivirus ตามที่ต้องการได้, ปิด หรือเปิดการลงทะเบียน และเปิดใช้งานโหมดบันทึกข้อมูลแบบละเอียด (verbose logging) ได้
เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง Defendnot จะสร้างการทำงานอัตโนมัติ (autorun) ผ่าน Task Scheduler ของ Windows เพื่อให้โปรแกรมเริ่มทำงานโดยอัตโนมัติเมื่อเข้าสู่ระบบของ Windows
แม้ว่า Defendnot จะถูกจัดว่าเป็นโปรเจกต์เพื่องานวิจัย แต่เครื่องมือนี้แสดงให้เห็นว่าคุณสมบัติของระบบที่น่าเชื่อถือสามารถถูกควบคุม หรือนำมาใช้ในทางที่ผิดได้ เพื่อปิดการทำงานคุณสมบัติของระบบรักษาความปลอดภัยได้
ปัจจุบัน Microsoft Defender ตรวจพบ และทำการ quarantine Defendnot ภายใต้ภัยคุกคามที่ชื่อว่า ‘Win32/Sabsik.FL.!ml’
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.