Yeni ‘Defendnot’ Aracı, Windows’u Kandırarak Microsoft Defender’ı Devre Dışı Bırakıyor

Güvenlik araştırmacıları, Windows kullanıcılarını etkileyebilecek kritik bir açığı gün yüzüne çıkardı. “Defendnot” adı verilen bu yeni araç, Microsoft Defender’ı tamamen devre dışı bırakabiliyor. Araç, sistemde hiçbir gerçek antivirüs bulunmasa bile bunu başarabiliyor.

Sahte Antivirüs Kaydı ile Defender Etkisiz Hâle Getiriliyor

Defendnot, Windows Güvenlik Merkezi (WSC) API’sindeki belgelendirilmemiş bir özelliği kullanarak çalışıyor. Bu API, antivirüs yazılımlarının Windows’a kendisini tanıtması ve gerçek zamanlı koruma görevini üstlendiğini bildirmesi için kullanılıyor. Windows, bir antivirüs yazılımı tespit ettiğinde Defender’ı otomatik olarak kapatıyor.

Araç, bu sistemi kandırarak sahte bir antivirüs kaydı oluşturuyor. Yazılım geliştiricisi es3n1n, bu yöntemin tüm Windows doğrulama kontrollerini geçtiğini ve Defender’ın kendisini kapattığını belirtiyor. Defendnot, benzer bir amaçla geliştirilen “no-defender” projesinden ilham aldı. Ancak o proje, üçüncü taraf bir antivirüs yazılımının kodlarını kullandığı için DMCA ihlali nedeniyle GitHub’dan kaldırılmıştı.

Defendnot, telif sorunlarını aşmak için işlevlerini sıfırdan geliştirilen sahte bir antivirüs DLL dosyasıyla sunuyor. Araç, bu DLL dosyasını Microsoft tarafından imzalanmış ve güvenilir kabul edilen Taskmgr.exe adlı sistem sürecine enjekte ediyor. Böylece Windows, bu sürecin güvenli olduğuna inanarak sahte antivirüs kaydını kabul ediyor.

Sistem, sahte antivirüs yazılımını tanıdıktan hemen sonra Microsoft Defender’ı kapatıyor. Bu işlemden sonra cihazda herhangi bir aktif koruma kalmıyor. Defendnot, yapılandırma ayarlarını ctx.bin adlı bir dosya üzerinden yüklüyor. Kullanıcılar, antivirüs adı belirleyebiliyor, kaydı devre dışı bırakabiliyor veya ayrıntılı günlük kaydını etkinleştirebiliyor.

Araç, kalıcılık sağlamak amacıyla Windows Görev Zamanlayıcı üzerinden kendisini başlatacak bir görev tanımlıyor. Böylece kullanıcı her oturum açtığında Defendnot otomatik olarak devreye giriyor.

Microsoft, Defendnot’u “Win32/Sabsik.FL.!ml” olarak tespit ediyor ve Defender aracılığıyla karantinaya alıyor. Ancak Defender’ın devre dışı bırakıldığı sistemlerde bu tespit işlevsiz hale geliyor. Bu durum, kötü niyetli kişilerin aracı kullanarak cihazları savunmasız bırakmasına neden olabilir.

Geliştirici, aracın araştırma amaçlı olduğunu belirtse de güvenlik uzmanları bu tür açıkların ciddi riskler taşıdığını vurguluyor. Defendnot, sistemin güvenli kabul ettiği unsurların nasıl suistimal edilebileceğini açıkça ortaya koyuyor.