CheckBlackList

Defendnot: Lo Strumento che “Spegne” Microsoft Defender e Spalanca le Porte al Malware

Defendnot: Lo Strumento che “Spegne” Microsoft Defender e Spalanca le Porte al Malware

La sicurezza informatica è una corsa continua tra chi crea protezioni e chi cerca di aggirarle. Un esempio lampante di questa sfida è rappresentato da “Defendnot”, un nuovo strumento che ha attirato l’attenzione dei ricercatori di sicurezza per la sua capacità di disattivare Microsoft Defender, il software antivirus integrato in Windows, sfruttando una funzionalità del sistema operativo pensata per scopi legittimi. Questo tool non installa un antivirus alternativo, lasciando il sistema completamente esposto a potenziali attacchi, nonostante le apparenze.

Banner Teleassistenza
Problemi con il PC? Risolviamo tutto a distanza con la nostra assistenza professionale
Scopri i nostri pacchetti

Per chi ha fretta

È stato sviluppato un tool chiamato “Defendnot” che disabilita Microsoft Defender su Windows ingannando il sistema operativo. Sfrutta una funzione che permette agli antivirus legittimi di registrarsi per gestire la protezione, facendo credere a Windows che sia installato un altro software di sicurezza. Questo disattiva Defender, lasciando il PC vulnerabile anche se l’interfaccia mostra protezione attiva. Il tool persiste all’avvio del sistema. Sebbene Microsoft Defender aggiornato sia in grado di rilevarlo se attivo, la minaccia evidenzia come i criminali possano sfruttare funzioni di sistema. Per proteggersi, mantenere il sistema aggiornato, usare soluzioni di sicurezza robuste, monitorare l’attività del sistema e fare attenzione a software di dubbia provenienza. In caso di sospetta infezione, eseguire scansioni approfondite e, se necessario, rivolgersi a esperti.

Sfruttare una Funzionalità Legittima per Scopi Illeciti

“Defendnot”, creato dal ricercatore es3n1n, è l’evoluzione di un progetto precedente e dimostra una notevole ingegneria inversa per aggirare sia le protezioni di Microsoft che i potenziali problemi di copyright. Il suo funzionamento si basa sull’abuso di un meccanismo integrato in Windows, il Windows Security Center (WSC), che gestisce le interazioni tra il sistema operativo e i software di sicurezza di terze parti.

Normalmente, quando un utente installa un antivirus diverso da Defender, questo software si registra presso il WSC attraverso un’interfaccia di programmazione (API). Questa registrazione notifica a Windows che la gestione della protezione in tempo reale è ora affidata al nuovo antivirus, inducendo Windows a disabilitare automaticamente Microsoft Defender per evitare conflitti tra software di sicurezza concorrenti sullo stesso sistema.

“Defendnot” sfrutta esattamente questo processo: crea un “finto antivirus” che riesce a registrarsi presso il WSC, soddisfacendo i controlli di convalida di Windows. Il tool è particolarmente insidioso perché aggira misure di sicurezza come la Protected Process Light (PPL), che dovrebbe impedire a processi non autorizzati di interagire con componenti critici di sistema, e la necessità di firme digitali valide. Per superare questi ostacoli, “Defendnot” inietta una libreria (DLL) all’interno di un processo di sistema legittimo e firmato da Microsoft, come Taskmgr.exe (il Task Manager), guadagnando così i privilegi necessari per ingannare il WSC e registrare il falso antivirus con un nome personalizzato.

Il risultato immediato e pericoloso è la disattivazione istantanea di Microsoft Defender. La cosa più allarmante è che, nonostante la mancanza di una protezione antivirus attiva, l’interfaccia di Windows Security potrebbe continuare a mostrare uno stato di apparente sicurezza, ingannando l’utente sulla reale vulnerabilità del sistema.

Persistenza e Implicazioni nel Mondo Reale

La pericolosità di “Defendnot” è amplificata dalla sua capacità di persistere sul sistema compromesso. Il tool crea un’attività pianificata all’interno dello Task Scheduler di Windows. Questa attività garantisce che il “finto antivirus” venga registrato nuovamente ogni volta che il sistema operativo viene avviato, assicurando che Microsoft Defender rimanga disabilitato anche dopo un riavvio.

Sebbene “Defendnot” possa essere stato sviluppato inizialmente come progetto di ricerca per dimostrare una debolezza del sistema, le tecniche che utilizza sono già state e continuano a essere impiegate da malware reali nel mondo cybercriminale. Attaccanti utilizzano metodi simili per disabilitare i software di sicurezza degli endpoint prima di lanciare attacchi più distruttivi, come ransomware, malware per il furto di dati o l’installazione di backdoor permanenti. Disattivare l’antivirus integrato o di terze parti è spesso uno dei primi passi compiuti dal malware per operare indisturbato.

Microsoft è a conoscenza di questa specifica tecnica e le versioni più recenti di Microsoft Defender sono state aggiornate per rilevare e mettere in quarantena “Defendnot”, identificandolo con una firma specifica (“Win32/Sabsik.FL.!ml”). Tuttavia, questa protezione è efficace solo se Defender è attivo prima che il tool (o un malware simile) venga eseguito. Questo solleva una questione cruciale nella sicurezza informatica: la necessità di garantire che i meccanismi di protezione stessi siano resilienti agli attacchi e che siano in grado di operare in ambienti potenzialmente compromessi.

La vicenda “Defendnot” è un promemoria significativo di quanto sia dinamica la battaglia per la sicurezza digitale. Ogni nuova funzionalità o meccanismo di un sistema operativo, se non adeguatamente protetto o se presenta debolezze sfruttabili, può diventare un potenziale vettore per attacchi sofisticati.

Consigli per Proteggersi da Strumenti e Malware che Disabilitano l’Antivirus

Proteggere il proprio sistema da minacce come “Defendnot” richiede un approccio di difesa a più livelli e una costante attenzione:

  • Mantieni Windows e Software Aggiornati: Assicurati che il tuo sistema operativo Windows e tutti i software installati (inclusi i browser e le applicazioni di sicurezza) siano sempre aggiornati con le patch di sicurezza più recenti. Molte vulnerabilità sfruttate dai malware vengono corrette tramite gli aggiornamenti.
  • Utilizza una Soluzione di Sicurezza Robusta: Affidati a un software antivirus/antimalware di reputazione (come Microsoft Defender stesso, se lo mantieni attivo e aggiornato, o soluzioni di terze parti affidabili). Assicurati che sia sempre attivo e configurato per gli aggiornamenti automatici e le scansioni in tempo reale.
  • Diffida di Software di Dubbia Provenienza: Non scaricare ed eseguire software da fonti non attendibili, specialmente se promettono funzionalità miracolose o provengono da siti web sospetti. Fai molta attenzione ai file allegati nelle email o ai link ricevuti da mittenti sconosciuti.
  • Abilita la Protezione Antitamper (se disponibile): Molti software antivirus, incluso Microsoft Defender, offrono funzionalità di protezione antimanomissione che impediscono a processi esterni di disabilitare o modificare le impostazioni di sicurezza. Assicurati che questa opzione sia attiva.
  • Monitora l’Attività del Sistema: Impara a riconoscere i segnali di attività anomala sul tuo computer, come rallentamenti inspiegabili, comportamenti strani delle applicazioni, o modifiche inattese alle impostazioni di sicurezza.
  • Verifica lo Stato della Sicurezza: Controlla regolarmente il pannello di Windows Security per assicurarti che Microsoft Defender (o il tuo antivirus di terze parti) sia attivo e funzioni correttamente.
  • Attenzione ai Processi e alle Attività Pianificate: Per utenti più esperti, è utile monitorare i processi in esecuzione tramite il Task Manager e le attività pianificate nello Task Scheduler alla ricerca di elementi sospetti o sconosciuti. I nomi dei processi o delle attività che non riconosci o che sembrano casuali potrebbero essere indicatori di malware.

Cosa Fare in Caso di Sospetta Disattivazione dell’Antivirus o Infezione

Se sospetti che il tuo software antivirus sia stato disattivato o se temi che il tuo sistema sia stato compromesso:

  • Scollega il Dispositivo dalla Rete: Se possibile, scollega immediatamente il computer da Internet e dalla rete locale per evitare la diffusione di malware o ulteriori danni.
  • Non Riavviare il Sistema (Immediatamente): In alcuni casi, spegnere o riavviare il sistema potrebbe dare al malware l’opportunità di eseguire attività distruttive o rendere più difficile la sua rimozione. Se possibile, tenta prima una scansione.
  • Esegui una Scansione Antivirus Approfondita: Avvia una scansione completa del sistema utilizzando il tuo software antivirus. Se sospetti che il tuo antivirus principale sia compromesso, valuta l’utilizzo di uno scanner antivirus avviabile da un supporto esterno (USB o DVD) o di uno scanner online affidabile.
  • Verifica lo Stato di Windows Security: Controlla lo stato di Microsoft Defender nel pannello di Windows Security. Se risulta disattivato, cerca di riattivarlo manualmente. Se non riesci a riattivarlo, è un forte segnale di compromissione.
  • Controlla Processi e Attività Pianificate: Utilizza il Task Manager per identificare processi sospetti in esecuzione. Controlla lo Task Scheduler per attività pianificate sconosciute o create di recente. Cerca online informazioni sui nomi sospetti che trovi.
  • Utilizza Strumenti di Rimozione Malware Specifici: In casi di infezione complessa, potrebbe essere necessario utilizzare strumenti specifici per la rimozione di malware forniti dai produttori di antivirus o da fonti affidabili.
  • Ripristina il Sistema da un Backup Pulito: Se non riesci a rimuovere il malware o se il sistema è gravemente compromesso, considera il ripristino del sistema da un backup completo e pulito risalente a un momento precedente all’infezione.
  • Richiedi Assistenza Professionale: Se non ti senti sicuro di gestire la situazione da solo o se l’infezione persiste, rivolgiti a un esperto di sicurezza informatica per assistenza.
  • Segnala l’Accaduto: Segnala l’incidente al produttore del tuo software antivirus e, in caso di danni significativi o se ritieni di essere stato vittima di un attacco mirato, presenta una denuncia alla Polizia Postale.

La capacità di strumenti come “Defendnot” di manipolare le funzionalità di sicurezza integrate evidenzia la necessità per gli utenti di non fare affidamento su una singola linea di difesa e di adottare un approccio multilivello alla sicurezza del proprio sistema.

#checkblacklist #cybersecurity #malware #windowssecurity

Claudio R Cerroni

, , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *