"Windows Defender"ın avtomatik söndürülmə mexanizmi hackerlar tərəfindən necə istifadə edilir? "Defendnot"un saxta DLL faylları və avto-başlatma taktikası kibertəhlükəsizlik dünyasında yeni müzakirələr yaradıb.
HİT.az xəbər verir ki, hakerlər "Defender"i aradan qaldırmaq üçün qeyri-adi üsul kəşf ediblər: "Defendnot" adlı alət, saxta antivirus qeydi yaradaraq "Microsoft"un təhlükəsizlik vasitəsini səssizcə işləksiz vəziyyətə salır.
"Defendnot" necə işləyir?
Təhlükəsizlik tədqiqatçısı es3n1n tərəfindən hazırlanan "Defendnot" "Windows Security Center" (WSC)-in daha əvvəl sənədləşdirilməmiş API-nı istifadə edir. Bu API üçüncü tərəf antivirus proqramlarının sistemə özünü tanıtmasına imkan verir. Normalda "Windows Defender" başqa bir antivirus aşkarladıqda avtomatik olaraq sönür ki, konflikt yaranmasın. Lakin "Defendnot" saxta qeyd yaradaraq bu mexanizmi manipulyasiya edir.
Alət zərərsiz bir DLL faylı vasitəsilə saxta antivirus kimliyi yaradır və istifadəçi hesaba daxil olduqda avto-başlatma (autorun) xüsusiyyəti ilə sistemə daxil olur. Beləliklə, "Windows Defender" həqiqi bir təhlükəsizlik proqramı quraşdırıldığını düşünür və özünü söndürür.
Keçmişdən günümüzə: "no-defender" skandallı və DMCA maneəsi
Bu, es3n1n-in ilk cəhdi deyil. Əvvəllər "no-defender" adlı alətlə oxşar üsul hazırlayan tədqiqatçı, proqramın məşhurlaşmasından sonra gözlənilməz problemlə üzləşib. Kodun içində başqa bir antivirus şirkətinə aid hissələr tapıldı. Şirkətin DMCA (Rəqəmsal Minilliyin Müəllif Hüquqları Qanunu) pozuntusu iddiası ilə etdiyi müraciət nəticəsində alət silinib.
Bu hadisədən sonra es3n1n sıfırdan və üçüncü tərəf kod istifadə etmədən "Defendnot"u hazırlanıb. Məqsəd təhlükəsizlik sistemlərinin zəifliklərini üzə çıxarmaq olsa da, alətin pis niyyətli şəxslər əlinə keçmə riski narahatlıq doğurur.
"Microsoft" tədbirini aldı: "Defender "artıq "Defendnot"u tanıyır
"Microsoft" "Defendnot"un təhlükəsini tez aşkar etdi. Son yeniləmələrlə birlikdə "Windows Defender" bu aləti "Win32/Sabsik.FL.!ml" kimi qeyd edib karantinaya ala bilir. Lakin mütəxəssislər oxşar alətlərin fərqli versiyalarının meydana çıxa biləcəyi barədə xəbərdarlıq edirlər.
Nə üçün təhlükəlidir?
"Defendnot"un texniki detalları göstərir ki, siber hücumçular "sıfırıncı gün" (zero-day) zəiflikləri qədər effektiv üsullar hazırlaya bilirlər. Tədqiqatçılar bu cür alətlərin kimlik oğurluğu, fidyə proqramları (ransomware) və ya məlumat oğurluğu hücumlarında istifadə edilə biləcəyini vurğulayır.
Nə etmək lazımdır?
"Defendnot" kibertəhlükəsizlik dünyasının daimi bir pişik-siçan oyunu olduğunu xatırladır. "Microsoft"un sürətli müdaxiləsi sevindirici olsa da, istifadəçilərin proaktiv tədbirlər görməsi vacibdir.
Təhlükəsizlik məsləhətləri:
* "Windows Defender" və digər təhlükəsizlik proqramlarını daim yeniləyin.
* Şübhəli faylları və proqramları yükləməyin.
* Avto-başlatma funksiyalarını nəzarətdə saxlayın.
Samir
