Schrödinger’in antivirüsü: Koruma ölü mü yoksa canlı mı?

Defendnot araştırma aracının sahte bir antivirüs kaydederek Microsoft Defender’ı nasıl devre dışı bıraktığını ve neden işletim sisteminizin söylediklerine her zaman güvenmemeniz gerektiğini öğrenin.

Defendnot: Microsoft Defender'ı devre dışı bırakan sahte antivirüs yazılımı

Günümüzde birçok şirket, çalışanların kendi cihazlarını iş amaçlı kullanmalarına izin veren Kendi Cihazını Getir (BYOD) ilkesini uygulamaktadır. Bu uygulama özellikle uzaktan çalışmayı benimseyen kuruluşlarda yaygındır. BYOD birçok bariz avantajı beraberinde getirmektedir, ancak bu uygulama şirketler için siber güvenlik açısından yeni riskler yaratmaktadır.

Sistemleri tehditlerden korumak için, bilgi güvenliği departmanları genellikle iş için kullanılan tüm cihazlara güvenlik yazılımı yüklenmesini şart koşar. Aynı zamanda, bazı çalışanlar – özellikle de teknoloji meraklıları – antivirüs yazılımını bir yardımdan çok bir engel olarak görebilir.

Elbette en mantıklı tutum bu değildir, ancak onları aksine ikna etmek zor olabilir. Asıl sorun, her şeyi daha iyi bildiklerine inanan çalışanların sistemi kandırmanın bir yolunu bulabilmeleridir. Bugün bu yöntemlerden birini; Defendnot olarak bilinen ve sahte antivirüs yazılımları kaydederek Windows cihazlarda Microsoft Defender’ı devre dışı bırakan yeni bir araştırma aracını, inceliyoruz.

no-defender, Microsoft Defender’ı devre dışı bırakmak için sahte antivirüs kullanarak nasıl çığır açtı?

Defendnot’un Microsoft Defender’ı nasıl devre dışı bıraktığını tam olarak anlamak için bir yıl geriye gitmemiz gerekiyor. O zamanlar, es3n1n X tanıtıcısına sahip bir araştırmacı aracın ilk sürümünü oluşturdu ve GitHub’da yayınladı. no-defender adı verilen bu program, yerleşik Windows Defender antivirüsünü devre dışı bırakmakla görevlendirilmişti.

es3n1n bu görevi gerçekleştirmek için, Windows Güvenlik Merkezi (WSC) API’sindeki bir zayıflıktan yararlanmıştır. Bu sayede, antivirüs yazılımı sisteme yüklendiğini ve cihazı gerçek zamanlı olarak korumaya başlamaya hazır olduğunu bildirir. Böyle bir mesaj alındığında Windows, aynı cihazda çalışan farklı güvenlik çözümleri arasındaki çakışmaları önlemek için Microsoft Defender’ı otomatik olarak devre dışı bırakır.

Araştırmacı, mevcut bir güvenlik çözümünün kodunu kullanarak, sisteme kaydolan ve tüm Windows kontrollerini geçen kendi sahte antivirüslerini oluşturdu. Microsoft Defender devre dışı bırakıldığında, cihaz korumasız kalıyordu, çünkü no-defender kendi başına hiçbir koruma sağlamıyordu.

no-defender projesi GitHub’da hızla takipçi kazanmış ve iki binden fazla kez yıldızlanmıştır. Ancak kodu yeniden kullanılan antivirüs geliştiricisi şirket, Dijital Binyıl Telif Hakkı Yasasını (DMCA) ihlal ettiği gerekçesiyle şikayette bulundu. Bu yüzden es3n1n proje kodunu GitHub’dan kaldırmak zorunda kaldı ve sadece bir açıklama sayfası bıraktı.

Defendnot, nasıl no-defender oldu?

Ama hikaye burada bitmiyor. Neredeyse bir yıl sonra, Yeni Zelandalı programcı MrBruh es3n1n’yi no-defender’ın üçüncü parti kodlara dayanmayan bir versiyonunu geliştirmeye teşvik etti. Bu zorlu görevden ve uykusuzluktan etkilenen es3n1n, dört gün içinde Defendnot adını verdiği yeni bir araç yazdı.

Defendnot’un merkezinde, meşru bir antivirüs gibi davranan sahte bir DLL dosyası (stub DLL) vardı. Defendnot; Protected Process Light (PPL), dijital imzalar ve diğer mekanizmalar dahil olmak üzere tüm WSC API kontrollerini atlamak için DLL’sini imzalı ve Microsoft tarafından zaten güvenilir olarak kabul edilen Taskmgr.exe’ye enjekte eder. Araç daha sonra sahte antivirüsü kaydederek Microsoft Defender’ın derhal kapanmasını ve cihazı aktif korumasız bırakmasını sağlar.

Bunun da ötesinde, Defendnot kullanıcının “antivirüs “e herhangi bir isim atamasına izin verir. Selefine benzer şekilde, bu proje de GitHub’da hit oldu ve yazım sırasında 2100 kez yıldızlandı. Defendnot’u yüklemek için kullanıcının (çalışanların kişisel cihazlarında büyük olasılıkla sahip oldukları) yönetici haklarına sahip olması gerekir.

Kurumsal altyapı BYOD kötüye kullanımından nasıl korunur?

Defendnot ve no-defender araştırma projeleri olarak konumlandırılmış olup, her iki araç da güvenilir sistem mekanizmalarının koruyucu işlevleri devre dışı bırakmak için nasıl manipüle edilebileceğini göstermektedir. Sonuç açıktır: Windows’un söylediklerine her zaman güvenemezsiniz.

Dolayısıyla, şirketinizin dijital altyapısını tehlikeye atmamak için BYOD ilkesini bir dizi ek güvenlik önlemiyle güçlendirmenizi öneririz:

  • Mümkünse, BYOD cihaz sahiplerinin şirketin bilgi güvenliği ekibi tarafından yönetilen güvenilir kurumsal koruma yüklemelerini zorunlu hale getirin.
  • Bu mümkün değilse, BYOD cihazlarını yalnızca antivirüs yazılımı yüklü oldukları için güvenilir olarak değerlendirmeyin ve kurumsal sistemlere erişimlerini sınırlayın.
  • Çalışanların iş sorumluluklarına uygun olmalarını sağlamak için erişim izinlerini sıkı bir şekilde kontrol edin.
  • Kurumsal sistemlerdeki BYOD cihaz etkinliğine özellikle dikkat edin ve davranışsal anormallikleri izlemek için bir XDR çözümü kullanın.
  • Çalışanları siber güvenliğin temelleri konusunda eğitin, böylece antivirüs yazılımının nasıl çalıştığını ve neden devre dışı bırakmaya çalışmamaları gerektiğini anlarlar. Bu konuda size yardımcı olmak için Kaspersky Automated Security Awareness Platformu ihtiyacınız olan her şeyi ve çok daha fazlasını sunar.
İpuçları
Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için