Antivírus de Schrödinger: a proteção está ativa ou inativa?

Como a ferramenta de pesquisa Defendnot desativa o Microsoft Defender ao registrar um antivírus falso, e por que você nem sempre deve confiar no que o seu sistema operacional informa.

Atualmente, muitas empresas adotam a política BYOD (Bring Your Own Device, Traga seu próprio dispositivo), permitindo que os funcionários utilizem seus próprios dispositivos para realizar tarefas relacionadas ao trabalho. Essa prática é especialmente comum em organizações que adotam o trabalho remoto. O BYOD traz muitas vantagens óbvias, mas sua implementação cria novos riscos para as empresas em termos de segurança cibernética.

Para proteger os sistemas contra ameaças, os departamentos de segurança da informação frequentemente exigem a instalação de softwares de segurança em todos os dispositivos utilizados para o trabalho. Ao mesmo tempo, alguns funcionários, especialmente os especialistas em tecnologia, podem considerar o software antivírus mais como um obstáculo do que como uma ajuda.

Certamente não é a atitude mais sensata, mas convencê-los do contrário pode ser difícil. A maior dificuldade reside no fato de que funcionários que se consideram mais capacitados podem conseguir burlar o sistema. Hoje, investigamos um método desse tipo: uma nova ferramenta de pesquisa chamada Defendnot, que desativa o Microsoft Defender em dispositivos Windows ao registrar um software antivírus falso.

Como o método no-defender abriu caminho usando antivírus falso para desativar o Microsoft Defender

Para entender exatamente como o Defendnot desativa o Microsoft Defender, precisamos voltar um ano no tempo. Naquela época, um pesquisador com nome de usuário es3n1n no X (antigo Twitter) criou e publicou a primeira versão da ferramenta no GitHub. Chamado no-defender, o método tinha como objetivo desabilitar o antivírus nativo do Windows Defender.

Para realizar essa tarefa, es3n1n explorou uma vulnerabilidade na API do Windows Security Center (WSC). Por meio dele, o software antivírus informa ao sistema que está instalado e pronto para começar a proteger o dispositivo em tempo real. Ao receber essa mensagem, o Windows desativa automaticamente o Microsoft Defender para evitar conflitos entre diferentes soluções de segurança em execução no mesmo dispositivo.

Baseando-se no código de uma solução de segurança pré-existente, o pesquisador criou um antivírus falso que foi registrado no sistema e passou por todas as verificações do Windows. Uma vez desativado o Microsoft Defender, o dispositivo ficou desprotegido, já que o no-defender não oferecia nenhuma proteção própria.

O projeto no-defender rapidamente conquistou seguidores no GitHub, onde recebeu mais de duas mil estrelas. No entanto, a empresa desenvolvedora do antivírus, cujo código foi reutilizado, apresentou uma denúncia por violação da Lei de Direitos Autorais do Milênio Digital (DMCA). Dessa forma, es3n1n foi obrigado a excluir o código do projeto do GitHub, mantendo apenas a página de descrição.

Como o Defendnot sucedeu o no-defender

Mas a história não termina aí. Quase um ano depois, o programador neozelandês MrBruh incentivou es3n1n a desenvolver uma versão do no-defender que não dependesse de código de terceiros. Motivado pelo desafio e pela privação de sono, es3n1n desenvolveu uma nova ferramenta em quatro dias, que recebeu o nome de Defendnot.

O componente central do Defendnot era uma DLL stub que se apresentava como um antivírus legítimo. Para ignorar todas as verificações da API WSC (incluindo Protected Process Light (PPL), assinaturas digitais e outros mecanismos), o Defendnot injeta sua DLL no Taskmgr.exe, que é assinado e já considerado confiável pela Microsoft. A ferramenta registra o antivírus falso, fazendo com que o Microsoft Defender seja desativado imediatamente, deixando o dispositivo sem proteção ativa.

Além disso, o Defendnot permite que o usuário atribua qualquer nome ao “antivírus”. De forma similar ao projeto anterior, este alcançou grande destaque no GitHub, acumulando 2.100 estrelas até a data de publicação. Para proceder com a instalação do Defendnot, é necessário que o usuário disponha de permissões de administrador (comuns entre funcionários em seus dispositivos pessoais).

Como proteger a infraestrutura corporativa do uso indevido da política BYOD

Tanto Defendnot quanto no-defender são considerados projetos de pesquisa, mostrando como é possível manipular mecanismos de confiança do sistema para desativar suas funções de proteção. A conclusão é óbvia: você nem sempre pode confiar no que o Windows diz.

Portanto, para não colocar em risco a infraestrutura digital de sua empresa, recomendamos reforçar sua política de BYOD com várias medidas de segurança adicionais:

  • Quando viável, exija que os usuários de dispositivos BYOD instalem uma solução de proteção corporativa confiável, administrada pela equipe de segurança da informação da empresa.
  • Se tal medida não for viável, não confie nos dispositivos BYOD unicamente pelo fato de terem antivírus instalado, e limite o acesso deles aos sistemas corporativos.
  • Implemente um controle rigoroso sobre as permissões de acesso, garantindo sua conformidade com as funções e responsabilidades dos funcionários.
  • Observe cuidadosamente o uso de dispositivos BYOD nos sistemas da empresa e utilize uma solução XDR para detectar comportamentos anômalos.
  • Ofereça treinamento aos funcionários nos fundamentos da cibersegurança, para que compreendam o funcionamento do software antivírus e a importância de não tentar desativá-lo. Para auxiliar nesse processo, nossa Automated Security Awareness Platform oferece tudo o que você precisa e muito mais.
Dicas