轰动！Windows Defender 绕过工具正在 GitHub 上分享

一个禁用 Windows Defender 和防火墙的 GitHub 项目在网络安全研究人员中引起了轰动。

CERT 高级漏洞分析师 Will Dormann在 Mastodon 网络安全实例上发布了有关 GitHub 项目的文章。

Dormann 写道：“有人发现了第三方 AV 用来禁用 Microsoft Defender 的秘密技术，这样它们就可以不受干扰地运行。这个工具使用这种技术来安装一个空 AV 产品，从而达到简单地禁用 Microsoft Defender 的效果。”

Dormann 提供了该工具运行的屏幕录像，看来它运行有效（下面的截图）。

“无防御者”Windows Defender 绕过

这个 GitHub 项目简称为“ No Defender ”，号称是“一种禁用 Windows Defender + 防火墙的有趣方式”。

在项目说明中，存储库所有者“es3n1n”表示，他们基本上对防病毒供应商用来禁用 Windows Defender 的 API 进行了逆向工程。

该说明指出：“Windows 中有一个 WSC（Windows安全中心）服务，防病毒软件会使用该服务让 Windows 知道系统中还有其他防病毒软件，并且应该禁用 Windows Defender。”

“这个 WSC API 没有文档记录，而且需要人们与 Microsoft 签署保密协议才能获得其文档，因此我决定采取一种有趣的方法，并使用了一款名为 Avast 的现有防病毒软件。这款 AV 引擎包含一个所谓的 wsc_proxy.exe 服务，它本质上为 Avast 设置了 WSC API。通过一点逆向工程，我将这项服务变成了一项可以添加我自己的内容的服务。”

es3n1n 指出的一个限制是“为了在重启后保留 WSC 内容，no-defender 会将自身（不是真正的自身，而是 Avast 的模块）添加到自动运行中。因此，您需要将 no-defender 二进制文件保留在磁盘上。”

绕过 Windows Defender 需要管理员权限

EDR（端点检测和响应）和防病毒软件绕过并不罕见，因为黑客和研究人员都找到了禁用安全防御的方法。

安全研究人员和测试人员经常在研究和测试过程中关闭安全防御，因此此类工具也有合法用途。正如一位评论者在 ycombinator Hacker News feed上指出的那样，“Defender 在进行安全研究时真的很烦人，而且几乎不可能完全永久关闭。即使使用组策略编辑器或 regedits 也不可靠。即使您确实让它停止，几周后它也会随机重新启用……对于绝大多数人来说，这是一件好事！”

Dormann 指出，只需提升管理员权限即可运行 No Defender 工具，因此 Windows 用户还有另一个理由不以管理员身份运行 Windows。“如果您不像我们这些注重安全的人那样以管理员身份登录 Windows，那么您就不必担心那么多，”Dormann 写道。

一位 Mastodon 评论员认为 GitHub 工具是 Avast 而非微软的漏洞，并指出“它需要用 AuthentiCode SigningLevel 7 签名的可执行文件（“由产品使用 AMPPL 的反恶意软件供应商签名”）。

“我认为这更像是 Avast wsc_proxy.exe 组件的一个漏洞，它被滥用，允许不受信任/未签名的代码与其进行交互，”这位网名是“faebudo”的评论者说道。

Dormann 评论这个问题“更像是一种新奇事物，而不是漏洞本身。具有管理员权限的用户可以执行管理员操作。其中包括重新配置他们所在的系统。包括内核级访问。”

文章来源：https://thecyberexpress.com/windows-defender-bypass-tool-github/

如侵权请私聊我们删文