Dans une preuve de concept, un chercheur en sécurité a démontré comment l’API Windows Security Center peut être utilisée pour bloquer les analyses par l’outil antivirus intégré de Microsoft.
Windows Defender peut être trompé pour se désactiver en simulant la présence d’une autre solution antivirus – un comportement que les acteurs menacent peuvent abuser pour exécuter du code malveillant sans détection.
Dans une preuve de concept, un chercheur en sécurité connu sous le nom de «ES3N1N» a démontré comment l’API Windows Security Center (WSC) peut bloquer les analyses par l’outil antivirus intégré de Microsoft.
Le chercheur a nommé leur outil POC «Defendnot» et a déclaré qu’ils avaient précédemment travaillé sur un projet similaire.
« Il y a presque exactement un an, j’ai publié un outil sans défenseur, un projet qui désactivait Windows Defender à l’aide de l’API Windows spéciale (WSC) fait pour l’antivirus pour faire savoir au système qu’il existe un autre antivirus, il n’est donc pas nécessaire d’exécuter des analyses de défenseur », a déclaré le chercheur dans un article de blog.
Le défenseur a été réduit au silence sans utiliser d’antivirus
Dans leur projet précédent, ES3N1N a utilisé un code tiers d’un antivirus existant pour enregistrer un faux programme antivirus sur WSC. Cependant, avec DefendNot, ils ont choisi de développer une solution propre et autonome sans dépendances tierces.
WSC utilise une API basée sur COM pour gérer la liste des produits de sécurité (antivirus) sur le système. Le logiciel antivirus utilise cette interface pour signaler son statut. La tâche d’Es3n1n était de manipuler cette API pour enregistrer un antivirus fantôme qui a l’air légitime pour WSC.
Ce n’était pas un exploit facile car Windows a des vérifications pour s’assurer que l’antivirus est réel, impliquant des noms de registre et des binaires signés. Le chercheur a utilisé des outils comme DNSPY, Process Monitor et inspection manuelle pour voir comment les outils antivirus légitimes se sont comportés lors de l’inscription avec WSC.
« D’après mon courtoisie de l’année dernière, je savais que WSC validait en quelque sorte le processus qui appelle ces API, je suppose qu’ils valident les signatures, ce qui était en effet une supposition correcte », a ajouté Es3n1n.
Le projet antérieur d’ES3N1N, No-Defender, a été supprimé de GitHub à la suite d’une demande de retrait DMCA par le fournisseur du logiciel.
Usurpation persistante de niveau API
Bien que le WSC soit généralement gardé par des mécanismes tels que la lumière protégée de processus (PPL) et la validation de signature, DefendNot contourne ces barrières en injectant son code dans TaskMgr.exe – un processus de confiance signé par le système. De là, il enregistre l’entrée de l’antivirus fantôme sous un nom usurpé.
De plus, pour s’assurer qu’il reste, DefendNot configure la persistance via Windows Task Scheduler, se lançant automatiquement à Connexion.
Ce POC fait largement trois révélations: comment les produits de sécurité interagissent avec le système d’exploitation sous le capot, l’usurpation de niveau API peut tromper des composants même de confiance comme le défenseur, et la seule dépendance à l’égard du WSC pour la détection AV pourrait être risquée.
Bien que Microsoft n’ait pas répondu aux questions envoyées par e-mail au moment de la publication, il y a des bavardages en ligne sur le rattrapage de Microsoft pour défendre et signalent actuellement l’outil en tant que Win32 / Sabsik.fl.! ML – Une classification heuristique générale utilisée par Defender pour des logiciels potentiellement malveillants ou suspects.
