ابزار Defendnot با جا زدن خودش بهجای یک آنتیویروس واقعی، ویندوز دیفندر را غیرفعال میکند و راه را برای نفوذ باز میگذارد.
به گزارش تکراتو و به نقل از androidheadlines، ابزاری به نام Defendnot که توسط پژوهشگر امنیتی به نام اسنین ساخته شده، قادر است Windows Defender را فریب داده و غیرفعال کند.
این ابزار به ویندوز طوری وانمود میکند که یک آنتیویروس واقعی روی سیستم نصب شده، در حالی که هیچ نرمافزار امنیتی واقعی وجود ندارد.
نتیجه این میشود که Windows Defender به صورت خودکار خاموش میشود و سیستم بدون هیچ محافظی باقی میماند. هرچند هدف اولیه از ساخت این ابزار تحقیقاتی بوده، اما این ابزار حالا میتواند در اختیار هکرها قرار بگیرد.
این ابزار از یک رابط برنامهنویسی پنهان استفاده میکند؛ همان API که معمولاً آنتیویروسها از آن برای شناسایی خود به Windows Security Center بهره میگیرند. زمانی که یک آنتیویروس خودش را به ویندوز معرفی میکند، Defender برای جلوگیری از تداخل بهصورت خودکار خاموش میشود. Defendnot دقیقاً از همین فرآیند سوءاستفاده میکند.
نسخه قبلی این ابزار با نام no-defender منتشر شده بود که با استفاده از کدهای یک آنتیویروس واقعی ساخته شده بود. اما بعد از شکایت شرکت سازنده، GitHub آن را به دلیل نقض کپیرایت حذف کرد. در نسخه جدید، اسنین تمام زیرساخت را از صفر نوشته تا با مشکل حقوقی مشابه روبهرو نشود.
Defendnot با وارد کردن یک فایل DLL خاص به فرایند Taskmgr.exe که متعلق به Task Manager است و توسط خود مایکروسافت امضا شده، خود را بهعنوان آنتیویروس معرفی میکند.
همین امضای معتبر باعث میشود ویندوز به آن اعتماد کرده و Defender را خاموش کند. در نهایت، سیستم بدون هیچ آنتیویروسی به کار خود ادامه میدهد.
هدف از توسعه Defendnot انجام پژوهشهای امنیتی بوده، اما این واقعیت را نباید نادیده گرفت که این ابزار میتواند بهراحتی مورد سوءاستفاده هکرها قرار بگیرد. همانطور که میدانیم، مهاجمان همیشه در جستوجوی راههای جدید برای دزدیدن اطلاعات کاربران هستند و این ابزار میتواند یکی از این مسیرها باشد.
خوشبختانه Windows Defender حالا با کمک الگوریتمهای یادگیری ماشین توانسته Defendnot را شناسایی کرده و بهعنوان یک تروجان طبقهبندی کند. این ابزار بهمحض شناسایی قرنطینه میشود و جلوی آسیب احتمالی آن گرفته میشود.
source
کلاس یوس