Новый исследовательский инструмент Defendnot позволяет полностью отключить Microsoft Defender, не устанавливая никакого стороннего антивируса. Разработанный специалистом по информационной безопасности под псевдонимом es3n1n, этот инструмент использует неофициальные возможности Windows Security Center API, предназначенной для регистрации антивирусных решений.
Суть атаки заключается в том, что Defendnot регистрирует фиктивный антивирус, удовлетворяющий всем системным требованиям Windows. В результате Microsoft Defender автоматически выключается, полагая, что устройство уже защищено другим решением.
По словам автора, Defendnot основан на старом проекте no-defender, удалённом с GitHub по требованию правообладателя. Однако новая версия написана с нуля, избегая нарушения авторских прав за счёт использования собственного фиктивного DLL.
Для обхода защиты, основанной на подписанных и доверенных процессах, Defendnot внедряется в Task Manager (taskmgr.exe) — системный процесс, подписанный Microsoft. Оттуда происходит регистрация «антивируса» с поддельным названием.
Также инструмент поддерживает загрузку параметров из файла ctx.bin, настройку имени антивируса, включение логирования и автоматический запуск через Планировщик заданий Windows, обеспечивая постоянное присутствие в системе.
На текущий момент Microsoft уже начала детектировать и блокировать Defendnot, классифицируя его как угрозу Win32/Sabsik.FL.!ml.
Хотя автор позиционирует проект как демонстрацию уязвимостей, он наглядно показывает, как легитимные функции Windows могут быть использованы во вред, что вызывает обеспокоенность в сфере кибербезопасности.
