เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender

เครื่องมือใหม่ชื่อ “Defendnot” ซึ่งพัฒนาโดยนักวิจัยที่ใช้ชื่อ “es3n1n” โดยเครื่องมือนี้มีความสามารถในการหลอกลวงระบบ Windows ให้ปิดการใช้งาน Microsoft Defender อัตโนมัติ โดยกระบวนการดังกล่าวเกิดจากการใช้ API ของ Windows Security Center (WSC) ที่ไม่ได้ถูกเปิดเผยในเอกสารอย่างเป็นทางการ

โดยปกติ เมื่อโปรแกรมป้องกันไวรัสจากภายนอกถูกติดตั้งลงในเครื่อง Windows ระบบจะตรวจพบและปิดการทำงานของ Microsoft Defender เพื่อป้องกันการขัดแย้งระหว่างโปรแกรมรักษาความปลอดภัยหลายตัว แต่ “Defendnot” ใช้วิธีการปลอมตัวเป็นโปรแกรมป้องกันไวรัส ด้วยการลงทะเบียน dummy antivirus ที่ผ่านการตรวจสอบของ Windows ว่าปลอดภัยและถูกต้องตามเกณฑ์ แม้ว่าโปรแกรมที่ทำการลงทะเบียนนั้นไม่ใช่โปรแกรมป้องกันไวรัสจริง ๆ เมื่อการลงทะเบียนเสร็จสิ้น Microsoft Defender ก็จะปิดตัวลงทันที ส่งผลให้เครื่องคอมพิวเตอร์ไม่มีการป้องกันจากโปรแกรมนี้

สำหรับเทคนิคที่ใช้ “Defendnot” นั้น เครื่องมือได้พัฒนาฟังก์ชันการทำงานตั้งแต่เริ่มต้นขึ้นใหม่เพื่อลดปัญหาเกี่ยวกับลิขสิทธิ์ ซึ่งแตกต่างจากโครงการ “no-defender” ที่เคยมีอยู่ก่อนหน้านี้ ซึ่งถูกนำออกจาก GitHub หลังจากที่มีคำร้อง DMCA จากผู้ผลิตซอฟต์แวร์ป้องกันไวรัส โดย “Defendnot” หลีกเลี่ยงปัญหาดังกล่าวด้วยการสร้าง dummy antivirus DLL ขึ้นมาเอง จากนั้นจึงฉีด (inject) DLL ดังกล่าวลงในโปรเซส Taskmgr.exe ซึ่งเป็นโปรเซสระบบที่ได้รับการลงนามดิจิทัลและเชื่อถือได้ การฉีด DLL ภายในโปรเซสที่เชื่อถือได้นี้ช่วยให้เครื่องมือสามารถเรียกใช้ API ที่ต้องการได้โดยไม่ถูกระบบป้องกันเข้ามาขัดขวาง

นอกจากนี้ เครื่องมือนี้จะมาพร้อมกับ loader ซึ่งอนุญาตให้ผู้ใช้สามารถปรับแต่งค่าคอนฟิกผ่านไฟล์ ctx.bin โดยสามารถตั้งชื่อโปรแกรมป้องกันไวรัสที่ต้องการให้แสดงในระบบ ปิดหรือเปิดการลงทะเบียน และเปิดใช้งาน verbose logging เพื่อให้มีรายละเอียดการทำงานที่ชัดเจนขึ้น สำหรับความต่อเนื่องของการทำงานเมื่อเข้าสู่ระบบ Windows “Defendnot” ได้สร้างงานอัตโนมัติผ่าน Windows Task Scheduler เพื่อให้เครื่องมือนี้เริ่มทำงานทุกครั้งที่ผู้ใช้ล็อกอินเข้าระบบ

แม้ว่าปัจจุบัน “Defendnot” ถือเป็นโครงการวิจัยที่มุ่งให้เห็นถึงข้อบกพร่องและศักยภาพของการใช้งาน API ที่เป็นที่ไว้วางใจในระบบ Windows แต่ก็แสดงให้เห็นชัดว่าแม้ระบบรักษาความปลอดภัยของ Windows จะมีมาตรการป้องกันต่าง ๆ อย่าง Protected Process Light (PPL) และการตรวจสอบลายเซ็นดิจิทัล แต่ก็ยังมีช่องทางที่ผู้ไม่หวังดีสามารถเอื้อให้การป้องกันสำคัญถูกปิดการใช้งานได้ ในที่สุด Microsoft Defender ก็ได้ตรวจพบและกักกัน “Defendnot” ในฐานะ Win32/Sabsik.FL.!ml; นี่คือสัญญาณเตือนให้เห็นถึงความสำคัญของการปรับปรุงและเสริมความแข็งแกร่งให้กับระบบรักษาความปลอดภัยในยุคที่ภัยคุกคามไซเบอร์พัฒนาไปอย่างรวดเร็ว

เรื่องนี้ไม่ได้เป็นเพียงการนำเสนอเครื่องมือทดลองเท่านั้น แต่ยังเป็นการสะท้อนให้เห็นถึงจุดบกพร่องในระบบการจัดการและการตรวจสอบ API ของ Windows ที่อาจถูกนำไปใช้ในทางที่ผิดในอนาคต และเป็นบทเรียนสำคัญสำหรับนักพัฒนาและผู้ดูแลระบบในการระมัดระวังการใช้งาน API ที่เป็นข้อยกเว้น รวมถึงการพัฒนามาตรการป้องกันที่มีประสิทธิภาพมากขึ้นเพื่อต่อสู้กับการแทรกแซงในเชิงลึกจากผู้ไม่หวังดีอีกด้วย

ที่มา: Bleepingcomputer

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com