Yeni Tehdit: Defendnot Aracı
Son günlerde güvenlik dünyasında dikkat çeken bir gelişme, "Defendnot" adlı aracın ortaya çıkması. Bu yeni tool, Windows cihazlarında Microsoft Defender’ı devre dışı bırakma yeteneğine sahip. Ayrıca, cihazda gerçek antivirus yazılımı olmadan, sahte bir antivirüs ürünü kaydederek bu işlemi gerçekleştiriyor.
Nasıl Çalışıyor?
Defendnot, belgelenmemiş bir Windows Güvenlik Merkezi (WSC) API’sini kullanıyor. Bu API, antivirus yazılımlarının Windows’a kurulu olduklarını ve cihazın gerçek zamanlı korumasını yönetmekte olduklarını bildirmek için kullanılıyor. Windows, bir antivirus programı kaydedildiğinde Microsoft Defender’ı otomatik olarak devre dışı bırakıyor. Bu durum, birden fazla güvenlik uygulamasının aynı cihazda çalışmasının yaratabileceği çelişkilerden kaçınmak amacıyla uygulanıyor.
Araştırmacıların Yeniliği
Araç, araştırmacı es3n1n tarafından geliştirilmiş olup, önceki "no-defender" isimli projeden esinlenmiştir. Bu eski araç, bir üçüncü parti antivirus ürününden alınan kodu kullanarak WSC ile kaydı taklit etmişti. Ancak bu proje, üretici tarafından yapılan DMCA başvurusu nedeniyle GitHub’dan kaldırılmıştı. Araştırmacının açıklamasına göre, "Projenin yayınlanmasından birkaç hafta sonra, yaklaşık 1.5 bin yıldız aldıktan sonra, kullandığım antivirusun geliştiricileri DMCA başvurusu yaptı ve bu nedenle her şeyi silmek zorunda kaldım."
Telif Hakları Sorunları ve Çözümü
Defendnot, işlevselliğini baştan inşa ederek telif hakları sorunlarından kaçınmayı hedeflemektedir. Bu, bir dummy antivirus DLL‘si oluşturarak yapılmıştır. Normalde WSC API’si, Korunan Süreç Hafifliği (PPL), geçerli dijital imzalar ve başka özelliklerle korunmaktadır. Ancak Defendnot, sistem süreçlerinden biri olan Taskmgr.exe’ye DLL’sini enjekte ederek bu gereklilikleri aşmayı başarmaktadır. Bu işlemden sonra, sahte antivirus’u taklit bir görüntü adıyla kaydedebilmekte.
Microsoft Defender’ın Durumu
Defendnot, kaydedildiği anda Microsoft Defender’ı otomatik olarak kapatmakta ve cihazda aktif koruma kalmamasına yol açmaktadır. Şu an itibarıyla Microsoft Defender, Defendnot’u ‘Win32/Sabsik.FL.!ml’ olarak tespit edip karantinaya almaktadır. Bu durum, aracın potansiyel tehlikelerini gözler önüne seriyor.
Özellikleri ve Kullanım Alanları
Defendnot’un kullanıcıya sunduğu bazı özellikler şunlardır:
- Loader: Ayar dosyalarını bir ctx.bin dosyası aracılığıyla geçirir.
- Antivirus adı belirleme: Kullanıcı, kullanmak istediği antivirus adını rahatlıkla seçebilir.
- Kayıt kapatma: Kullanıcı, kaydı kapatma seçeneğine de sahip.
- Verbose logging: Geliştiricilerin sorun çözme konusunda daha fazla bilgi almasına olanak tanır.
Defendnot, Windows Görev Zamanlayıcısı aracılığıyla bir autorun oluşturur, böylece kullanıcı Windows’a her giriş yaptığında çalışmaya başlar. Bu durum, aracı daha kalıcı hale getirerek güvenlik açığı oluşturabilir.
Güvenlik Açıkları ve Korunma Yöntemleri
Defendnot gibi araçların ortaya çıkması, güvenlik sistemlerinin manipüle edilebileceğini gösteriyor. Özellikle, güvenli sistem özellikleri üzerinde yapılan bu tür manipülasyonlar, büyük risk teşkil eder.
Kullanıcıların, böyle bir tehdit karşısında alabilecekleri bazı önlemler şunlardır:
- Güncellemeleri Takip Etmek: Yazılım ve güvenlik sistemlerinin güncel tutulması, olası saldırılara karşı koruma sağlar.
- Güvenilir Kaynaklardan Yazılım İndirmek: Bilinmeyen kaynaklardan yazılım indirmek, kötü niyetli yazılımların cihazınıza sızmasına neden olabilir.
- Çok Katmanlı Güvenlik: Birden fazla güvenlik uygulaması kullanarak, tek bir güvenlik açığı sayesinde tüm cihazın tehlikeye girmesi önlenebilir.
- Kullanıcı Eğitimi: Kullanıcıların, sosyal mühendislik saldırıları hakkında bilgi sahibi olması, bu tür tehditlerin önlenmesinde önemli rol oynar.
Sonuç olarak, Defendnot aracı, siber güvenlik alanında önemli bir tartışma konusu haline gelmiştir. Artan tehditler karşısında, kullanıcıların dikkatli olması ve gerekli önlemleri alması büyük önem taşımaktadır. Cyber güvenlik topluluğunun, bu tür platformlarda gelişen tehditlere karşı nasıl önlemler alacağı merak konusu olmaya devam etmekte.
