Într-un mediu IT din ce în ce mai complex, protecția endpoint-urilor este esențială. Recent, a fost identificat un instrument numit Defendnot, care exploatează în mod creativ un comportament legitim al Windows pentru a dezactiva Windows Defender, fără a fi detectat ca o amenințare clasică.

Cum funcționează Defendnot?

Defendnot profită de Windows Security Center (WSC) – un serviciu care coordonează soluțiile de securitate instalate și se înregistrează ca un „antivirus legitim” folosind API-ul Microsoft. Windows consideră că o altă soluție antivirus este prezentă și dezactivează automat Windows Defender.

Riscuri și Impact

Evitarea protecției inițiale: Odată ce Defender este dezactivat, sistemul este expus la alte tipuri de malware. Fără alerte, sistemul nu va mai genera erori sau notificări evidente. Defender este oprit „cu acordul” Windows-ului, și se creează un punct de intrare ideal pentru alte componente malware.

Măsuri Recomandate

Măsuri Tehnice
Monitorizare EDR: Implementarea sau revizuirea soluțiilor EDR care detectează modificări neobișnuite în starea WSC. Blocați înregistrarea neautorizată a aplicațiilor ca antivirus. Forțați activarea permanentă a Windows Defender, indiferent de alte soluții.
Măsuri Operaționale
Audit periodic al înregistrărilor din WSC: Verificați soluțiile antivirus active și înregistrările suspecte.
Conștientizare/instruire echipă IT: Asigurați-vă că administratorii cunosc această tehnică și verifică sistemele pentru indicatori de compromis.

Atenționare pentru Management!

Atenție! Defendnot nu este un exploit clasic! Defendnot este utilizarea ingenioasă a unei funcții legitime! Tocmai din acest motiv este mult mai periculos. Pentru că nu ridică suspiciuni și poate ocoli ușor măsurile de securitate standard.
Organizațiile trebuie să depășească protecția implicită oferită de sistemul de operare și să adopte o strategie de securitate stratificată, cu monitorizare activă și politici restrictive.

Sursa: „https://cybersecuritynews.com„