Антивирус Шредингера: защита есть? А если не найду?

Многие современные компании поддерживают политику BYOD (Bring Your Own Device) — то есть разрешают сотрудникам использовать собственные устройства для служебных нужд. Особенно эта практика распространена в организациях, приветствующих удаленный формат работы. У BYOD есть масса очевидных преимуществ, однако внедрение подобной политики создает новые риски для кибербезопасности компании.

Для предотвращения угроз ИБ-отделы часто выдвигают требование наличия защитного решения в качестве обязательного условия для использования собственного устройства для работы. В то же время некоторые сотрудники — особенно продвинутые и уверенные в себе технические специалисты — могут считать, что антивирус вряд ли может быть полезен и, скорее всего, будет усложнять им жизнь.

Это не самое разумное мнение, но переубедить таких людей может быть не так уж просто. Главная проблема состоит в том, что уверенные в своей правоте сотрудники могут найти способ обмануть систему. Сегодня в рамках рубрики «Предупрежден — значит вооружен» мы расскажем об одном из них: о новом исследовательском проекте под названием Defendnot, который позволяет отключать Microsoft Defender на устройствах с Windows, регистрируя фальшивый антивирус.

Как эксперимент с no-defender показал, что Microsoft Defender можно отключить с помощью поддельного антивируса

Чтобы разобраться в том, как работает Defendnot, нам придется перенестись на год назад. Тогда исследователь с Twitter-ником es3n1n, который является автором этого инструмента, опубликовал первую версию проекта на GitHub. Он назывался no-defender, и его задачей также являлось отключение встроенного антивируса Windows Defender.

Для выполнения этой задачи es3n1n эксплуатировал специальный программный интерфейс Windows под названием WSC API (Windows Security Center — Центр безопасности Windows). Через него антивирусное ПО сообщает системе о том, что оно установлено и берет на себя защиту устройства в режиме реального времени. Получив такое сообщение, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных решений на одном устройстве.

На основе кода существующего защитного решения исследователь смог создать свой поддельный «антивирус», который регистрировался в системе и проходил все проверки Windows. После этого Microsoft Defender отключался, а устройство оставалось незащищенным, поскольку no-defender на практике не имел никаких защитных функций.

Проект no-defender достаточно быстро набрал популярность на GitHub и успел получить 2 тысячи звезд от благодарных пользователей. Однако компания-разработчик антивируса, чей код использовал исследователь, отправила на него жалобу о нарушении Закона об авторском праве в цифровую эпоху (DMCA). Поэтому es3n1n удалил код проекта из GitHub, оставив только страничку с описанием.

Defendnot — обновленная версия инструмента для отключения Microsoft Defender

История на этом не закончилась. Почти год спустя новозеландский программист под псевдонимом MrBruh подтолкнул es3n1n разработать решение той же задачи, что выполнял no-defender, но без использования чужого кода. В итоге, благодаря любопытству и проблемам со сном, es3n1n за 4 дня написал новый код для инструмента, который получил название Defendnot.

Основой для Defendnot стала DLL-заглушка, выдающая себя за легитимный антивирус. Чтобы обойти все проверки Windows Security Center API, включающие Protected Process Light (PPL), цифровые подписи и другие механизмы, Defendnot внедряет свою DLL в Taskmgr.exe, который подписан и уже считается доверенным Microsoft. Затем инструмент регистрирует фейковый антивирус — после этого Microsoft Defender немедленно отключается, оставляя устройство без активной защиты.

Помимо этого, Defendnot дает возможность пользователю задавать любое имя для поддельного «антивируса». Этот проект автор также выложил на GitHub. Как и предыдущая версия средства для отключения антивируса, Defendnot пользуется популярностью на платформе и на момент написания этого поста уже получил 2,1 тысячи звезд. Для установки Defendnot пользователь должен иметь права администратора (впрочем, если устройство личное, то такие права у сотрудника, вероятно, есть).

Как защитить корпоративную инфраструктуру от беспечности BYOD-пользователей

Defendnot и no-defender позиционируются как исследовательский проект. При этом оба инструмента демонстрируют, как можно манипулировать доверенными системными механизмами для отключения защитных функций. Из этого следует вполне очевидный вывод: не всегда можно полагаться на показания Windows.

Поэтому, чтобы не подвергать опасности цифровую инфраструктуру компании, мы рекомендуем тщательно продумывать корпоративную политику BYOD и принять ряд дополнительных мер для обеспечения безопасности.

• Если это возможно, сделать обязательным условием для использования личных устройств в рабочих целях установку надежной корпоративной защиты, администрируемой ИБ-службой компании.
• Если такой возможности нет — не считать BYOD-устройства доверенными просто потому, что на них работает антивирус, и ограничивать их доступ к корпоративным системам.
• Строго следить за тем, чтобы выданные доступы соответствовали рабочим обязанностям сотрудников.
• Уделять особое внимание активности пользователей BYOD-устройств в корпоративных системах и отслеживать аномалии в их поведении с помощью решений класса XDR.
• Проводить обучение сотрудников основам кибербезопасности, чтобы они имели реалистичное представление о том, как работает антивирус и почему не стоит пытаться его отключать. В этом поможет наша автоматизированная образовательная платформа Kaspersky Automated Security Awareness Platform.