Сегодня все больше организаций внедряют политику BYOD (Bring Your Own Device), разрешая персоналу применять личные устройства для рабочих задач. Особенно это актуально для компаний с распределенными командами. Хотя такой подход имеет плюсы, он создает дополнительные угрозы для информационной безопасности.
Чтобы минимизировать риски, специалисты по защите данных часто обязывают сотрудников устанавливать антивирусное ПО. Однако технически подкованные работники иногда сомневаются в полезности таких программ, считая их бесполезной нагрузкой на систему.
Переубедить таких сотрудников сложно, а их действия могут привести к обходу защитных механизмов. В рамках цикла «Предупрежден — значит вооружен» рассмотрим инструмент Defendnot, позволяющий деактивировать Microsoft Defender через фиктивную регистрацию антивируса.
Эксперимент no-defender: как поддельный антивирус выключает Microsoft Defender
Истоки Defendnot лежат в проекте no-defender, разработанном исследователем es3n1n и опубликованном на GitHub год назад. Инструмент использовал интерфейс WSC API (Центр безопасности Windows) — механизм, через который защитные приложения уведомляют систему о своем активном статусе.
Windows автоматически останавливает Microsoft Defender при обнаружении работающего стороннего антивируса, чтобы исключить конфликты. Автор проекта воссоздал поддельный продукт безопасности, обманывающий проверки WSC API. После регистрации «антивируса» система отключала Defender, оставляя компьютер без реальной защиты.
Популярность no-defender быстро росла, собрав 2000 звезд на GitHub. Но правообладатель антивируса, чей код был заимствован, подал жалобу DMCA. Это привели к удалению кода проекта, сохранилось лишь описание на платформе.
Defendnot: усовершенствованный инструмент деактивации защиты Windows
После удаления no-defender программист MrBruh вдохновил es3n1n на разработку обходного метода без нарушения авторских прав. За четыре дня был создан инструмент Defendnot, принципиально отличающийся реализацией.
Новое решение использует DLL-контейнер, маскирующийся под легитимное защитное ПО. Чтобы пройти проверки Центра безопасности, включая Protected Process Light (PPL) и цифровые подписи, DLL внедряется в подписанный Microsoft процесс Taskmgr.exe. После регистрации ложного антивируса Defender автоматически деактивируется.
Defendnot позволяет задавать произвольные названия для фейкового ПО. На момент публикации обновленный проект получил 2100 звезд на GitHub. Для установки требуются администраторские права, которые обычно есть у владельцев персональных устройств.
Меры защиты корпоративных систем от недобросовестных пользователей BYOD
Оба проекта подчеркивают уязвимость механизмов доверия в Windows. Это доказывает необходимость дополнительных мер безопасности при политике BYOD:
- Требовать установку управляемого корпоративного защитного решения на личных устройствах для работы.
- Если это невозможно — ограничивать доступ BYOD-гаджетов к внутренним ресурсам, не считая их безопасными лишь из-за наличия антивируса.
- Предоставлять доступ только к необходимым сервисам в соответствии с обязанностями сотрудника.
- Мониторить подозрительную активность с помощью XDR-систем.
- Обучать команды базовым принципам кибербезопасности, разъясняя важность защитного ПО. Для этого подходит автоматизированная платформа Kaspersky Automated Security Awareness Platform.