一个禁用 Windows Defender 和防火墙的 GitHub 项目在网络安全研究人员中引起了轰动。
CERT 高级漏洞分析师 Will Dormann在 Mastodon 网络安全实例上发布了有关 GitHub 项目的文章。
Dormann 写道:“有人发现了第三方 AV 用来禁用 Microsoft Defender 的秘密技术,这样它们就可以不受干扰地运行。这个工具使用这种技术来安装一个空 AV 产品,从而达到简单地禁用 Microsoft Defender 的效果。”
Dormann 提供了该工具运行的屏幕录像,看来它运行有效(下面的截图)。
“无防御者”Windows Defender 绕过
这个 GitHub 项目简称为“ No Defender ”,号称是“一种禁用 Windows Defender + 防火墙的有趣方式”。
在项目说明中,存储库所有者“es3n1n”表示,他们基本上对防病毒供应商用来禁用 Windows Defender 的 API 进行了逆向工程。
该说明指出:“Windows 中有一个 WSC(Windows安全中心)服务,防病毒软件会使用该服务让 Windows 知道系统中还有其他防病毒软件,并且应该禁用 Windows Defender。”
“这个 WSC API 没有文档记录,而且需要人们与 Microsoft 签署保密协议才能获得其文档,因此我决定采取一种有趣的方法,并使用了一款名为 Avast 的现有防病毒软件。这款 AV 引擎包含一个所谓的 wsc_proxy.exe 服务,它本质上为 Avast 设置了 WSC API。通过一点逆向工程,我将这项服务变成了一项可以添加我自己的内容的服务。”
es3n1n 指出的一个限制是“为了在重启后保留 WSC 内容,no-defender 会将自身(不是真正的自身,而是 Avast 的模块)添加到自动运行中。因此,您需要将 no-defender 二进制文件保留在磁盘上。”
EDR(端点检测和响应)和防病毒软件绕过并不罕见,因为黑客和研究人员都找到了禁用安全防御的方法。
安全研究人员和测试人员经常在研究和测试过程中关闭安全防御,因此此类工具也有合法用途。正如一位评论者在 ycombinator Hacker News feed上指出的那样,“Defender 在进行安全研究时真的很烦人,而且几乎不可能完全永久关闭。即使使用组策略编辑器或 regedits 也不可靠。即使您确实让它停止,几周后它也会随机重新启用……对于绝大多数人来说,这是一件好事!”
Dormann 指出,只需提升管理员权限即可运行 No Defender 工具,因此 Windows 用户还有另一个理由不以管理员身份运行 Windows。“如果您不像我们这些注重安全的人那样以管理员身份登录 Windows,那么您就不必担心那么多,”Dormann 写道。
一位 Mastodon 评论员认为 GitHub 工具是 Avast 而非微软的漏洞,并指出“它需要用 AuthentiCode SigningLevel 7 签名的可执行文件(“由产品使用 AMPPL 的反恶意软件供应商签名”)。
“我认为这更像是 Avast wsc_proxy.exe 组件的一个漏洞,它被滥用,允许不受信任/未签名的代码与其进行交互,”这位网名是“faebudo”的评论者说道。
Dormann 评论这个问题“更像是一种新奇事物,而不是漏洞本身。具有管理员权限的用户可以执行管理员操作。其中包括重新配置他们所在的系统。包括内核级访问。”
文章来源:https://thecyberexpress.com/windows-defender-bypass-tool-github/
来
领
资
料
**【免费领】**网络安全专业入门与进阶学习资料,轻松掌握网络安全技能!