Mechanizm, który oszukuje system
Choć na pierwszy rzut oka może wydawać się jedynie eksperymentem technologicznym, narzędzie Defendnot otwiera niepokojący rozdział w kwestii bezpieczeństwa systemu Windows. Jego działanie jest zaskakująco skuteczne i proste. Wykorzystuje ono sposób, w jaki system operacyjny rozpoznaje aktywne oprogramowanie antywirusowe – a dokładniej, interfejs Windows Security Center API (WSC). Ten nieudokumentowany publicznie interfejs jest wykorzystywany przez legalne programy zabezpieczające, by przekazać systemowi informację: „jesteśmy obecni, kontrolujemy sytuację”. Windows, uznając taką deklarację, automatycznie wyłącza Microsoft Defender, by uniknąć konfliktu między dwoma mechanizmami ochrony. Twórca Defendnot, znany w sieci jako es3n1n, postanowił wykorzystać ten mechanizm w sposób nietypowy. Zamiast zintegrować kod istniejącego programu antywirusowego, jak zrobił to wcześniej w projekcie no-defender, zbudował wszystko od zera. Tym razem postawił na fikcyjną bibliotekę DLL, która podszywa się pod produkt zabezpieczający. Dzięki temu nie tylko unika problemów prawnych, które pogrzebały wcześniejszy projekt, ale też tworzy narzędzie, które z łatwością przechodzi wszelkie testy weryfikacyjne Windowsa. Z punktu widzenia systemu, wszystko wygląda w porządku. Defender widzi zarejestrowany produkt, wyłącza swoje funkcje, nie podejrzewając, że tak naprawdę nie ma żadnej realnej ochrony. A użytkownik? Może nawet nie być świadomy, że jego komputer został właśnie całkowicie rozbrojony.
Pozory bezpieczeństwa mogą kosztować
To, co budzi największy niepokój w przypadku Defendnot, to sposób, w jaki narzędzie omija zabezpieczenia systemowe. Interfejs API, na którym się opiera, zwykle jest chroniony szeregiem mechanizmów – od podpisów cyfrowych po funkcję Protected Process Light. Jednak autorowi udało się to obejść, wstrzykując swoją fałszywą bibliotekę do procesu Taskmgr.exe. Ten plik, podpisany i zaufany przez Microsoft, działa jak tarcza ochronna, dając nowemu oprogramowaniu dostęp do zasobów, które w innych warunkach byłyby zablokowane. Raz aktywowany, Defendnot przejmuje kontrolę nad komunikacją z WSC, rejestrując wybrany przez użytkownika (albo atakującego) program antywirusowy jako aktywny i sprawny. Można nawet nadać mu dowolną nazwę, by jeszcze lepiej wtopić się w tło. Dzięki plikowi konfiguracyjnemu ctx.bin da się łatwo dostosować parametry działania, włączyć rejestrowanie, czy dezaktywować usługę. Ale to jeszcze nie wszystko. Autor zadbał również o trwałość działania. Po zalogowaniu się do systemu narzędzie uruchamia się automatycznie dzięki wpisowi w Harmonogramie zadań Windowsa. W praktyce oznacza to, że nawet po restarcie systemu fałszywe zabezpieczenie nadal działa, a prawdziwa ochrona – Microsoft Defender – pozostaje nieaktywna. Choć sam twórca określa Defendnot jako projekt badawczy, zagrożenia są bardzo realne. Narzędzie to pokazuje, że zaufane procesy i interfejsy mogą zostać wykorzystane przeciwko użytkownikowi. Co więcej, wskazuje na luki w systemie, które dotąd wydawały się dobrze zabezpieczone. Na szczęście Microsoft nie pozostaje obojętny. Program Defender został już zaktualizowany i obecnie wykrywa Defendnot jako zagrożenie oznaczone jako Win32/Sabsik.FL.! Ml. To jednak nie rozwiązuje całego problemu. Sytuacja pokazała, jak łatwo można wyłączyć systemową ochronę, nie zostawiając śladów. Dla cyberprzestępców to cenna lekcja i potencjalna broń.
