Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Andrea Mongelli : 20 Maggio 2025 15:15

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di attacchi tradizionali, non richiede privilegi elevati, non modifica in modo permanente le chiavi di registro e non solleva alert immediati da parte dei software di difesa tradizionali o soluzioni EDR (Endpoint Detection and Response).

L’efficacia di Defendnot risiede nella sua capacità di interfacciarsi con le API e i meccanismi di sicurezza nativi del sistema operativo Windows, in particolare:

  • WMI (Windows Management Instrumentation)
  • COM (Component Object Model)
  • Windows Security Center (WSC)

2. Processi di esecuzione del Malware

2.1 Abuso del Windows Security Center (WSC)

Il comportamento principale del malware consiste nel simulare la presenza di un antivirus attivo tramite la registrazione fittizia nel WSC, inducendo Defender a disattivarsi automaticamente.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Windows Defender si disattiva se rileva la presenza di un altro antivirus “compatibile” registrato correttamente nel sistema.

Questa simulazione viene ottenuta sfruttando interfacce COM, come IWSCProduct e IWSCProductList, e avvalendosi di script PowerShell o codice compilato (es. C++).

2.2 Uso di WMI e COM senza Elevazione di Privilegi

Defendnot non modifica GPO, non scrive nel registro e non uccide processi. Opera in modo stealth grazie a:

  • WMI Namespace: root\SecurityCenter2
  • COM Object: WSC.SecurityCenter2

In molti contesti aziendali mal configurati, questi componenti possono essere invocati anche da utenti standard, rendendo il malware estremamente pericoloso in termini di lateral movement e persistence.

2.3 Iniezione e Persistenza

In alcuni casi, Defendnot può essere iniettato in processi fidati (es. taskmgr.exe) o configurato per l’esecuzione automatica tramite Task Scheduler o chiavi Run.

3. Esempi Tecnici Pratici

IDTecnicaDescrizioneObiettivoRischioPrivilegi Richiesti
3.1WMI via PowerShellLettura stato antivirus da WSCOsservazione statoBassoNessuno
3.2COM spoof C++Simulazione AV via COMDisattivazione DefenderAltoMedio
3.3Get-Cim Defender StatusVerifica stato Defender direttoRilevamento disattivazioneBassoNessuno
3.4MOF InjectionScrittura diretta in WMIPersistenza/BypassMolto altoAlto
3.5Event WMI monitorIntercetta modifiche AV in tempo realeRilevamentoMedioNessuno
3.6Scheduled Tasks CheckVerifica task sospettiPersistenzaMedioNessuno
3.7MpPreference DumpStato delle protezioni di DefenderDiagnosticaBassoNessuno
3.8DLL enum processo WSCControllo iniezioni DLLRilevamento AV fake o loaderAltoAlto
3.9Firma AV BinariVerifica firma eseguibili registratiRilevamento spoofMedioNessuno

3.1 Simulazione WMI via PowerShell

Questo codice è legittimo ma può essere esteso per registrare falsi antivirus con stato “attivo e aggiornato”, forzando così la disattivazione di Defender.

3.2 Spoofing avanzato in C++ (uso COM diretto)

Questa simulazione è sufficiente a ingannare Defender e farlo disattivare come da policy Microsoft.

3.3 Analisi dello Stato di Defender tramite WMI (PowerShell)

Questo script permette di interrogare direttamente lo stato di Microsoft Defender, utile per verificare se è stato disattivato in modo anomalo.

Utile per eseguire un controllo incrociato: se Defender risulta disattivato e non vi è alcun AV noto attivo, è probabile la presenza di spoofing o bypass.

3.4 Registrazione Fittizia di AV via WMI Spoof (WMI MOF Injection – Teorico)

Una tecnica usata in scenari più avanzati può includere MOF Injection per creare provider fittizi direttamente in WMI (esempio concettuale):

Compilato con:

Compilato con:

mofcomp.exe fakeav.mof

Questa tecnica è estremamente stealth e sfrutta la capacità di WMI di accettare nuovi provider persistenti. Va monitorata con attenzione.

3.5 Monitoraggio WMI Eventi in Tempo Reale (PowerShell + WQL)

Script che intercetta modifiche sospette al namespace SecurityCenter2:

Questo è particolarmente utile in ambienti aziendali: può essere lasciato in esecuzione su server o endpoint sensibili per tracciare cambiamenti in tempo reale.

3.6 Logging Persistente di AV Fittizi tramite Task Scheduler (PowerShell)

Esempio per identificare eventuali task che iniettano strumenti di bypass all’avvio:

Una semplice scansione dei task può rivelare meccanismi di persistenza non evidenti, soprattutto se il payload è un fake AV o un loader offuscato.

3.7 Ispezione della Configurazione Defender tramite MpPreference

Permette di individuare modifiche anomale o disabilitazioni silenziose:

Se DisableRealtimeMonitoring è attivo, Defender è stato disattivato. Anche UILockdown può indicare manipolazioni da malware avanzati.

3.8 Enumerazione e Verifica dei Moduli Caricati nel Processo WSC (C++)

Controllare che non vi siano DLL anomale caricate nel processo del Security Center:

Gli strumenti come Defendnot possono essere iniettati nel processo SecurityHealthService.exe. Il controllo dei moduli può rivelare DLL anomale.

3.9 Identificazione di AV Fake tramite Analisi della Firma del File

Esempio in PowerShell per analizzare i binari AV registrati:

Gli AV fake spesso non sono firmati o hanno certificati self-signed. Questo controllo può essere integrato in audit automatizzati.

4. Script di Monitoraggio e Rilevamento

Per monitorare al meglio eventuali anomalie, si può usare un modulo centralizzato da eseguire sull’host Windows per avere una visione d’insieme su: 

  • Stato di Defender
  • Prodotti AV registrati
  • Anomalie nei nomi/firme
  • Task sospetti legati a fake AV

Si consiglia di schedulare l’esecuzione di questa dashboard su base oraria tramite Task Scheduler, salvando l’output in file di log o inviandolo via e-mail. È anche possibile integrarlo con SIEM (Splunk, Sentinel, etc.) via forwarding del log ed è estendibile con funzionalità di auto-remediation, ad esempio disinstallazione o terminazione di AV sospetti.

4.1 PowerShell: Rilevamento Anomalie in WSC

Questo script decodifica lo stato binario dei provider AV registrati e lancia un allarme se rileva anomalie (es. nomi generici, binari non firmati o assenti).

5. Strategie di Mitigazione e Difesa

Per contenere e prevenire gli effetti di malware come Defendnot, si raccomanda di adottare un approccio multilivello:

5.1. Monitoraggio WSC Periodico

Automatizzare il controllo su base oraria/giornaliera e inviare alert su SIEM o email.

5.2. Abilitare Tamper Protection

Blocca modifiche non autorizzate alla configurazione di Defender, comprese modifiche via WMI o PowerShell.

5.3. Applicare Policy di Lock-down

Utilizzare Group Policy per disabilitare l’opzione “Disattiva Microsoft Defender”:

Computer Configuration > Admin Templates > Microsoft Defender Antivirus > Turn off Defender = Disabled

5.4. Controllo Accessi a WMI e COM

Strumenti EDR devono tracciare accessi sospetti a:

  • root\SecurityCenter2
  • COM object WSC.SecurityCenter2
  • Script non firmati che accedono a questi componenti

 5.5. Rilevamento Comportamentale con EDR

EDR avanzati devono essere configurati per:

  • Rilevare registrazioni anomale di provider AV.
  • Intercettare iniezioni in processi trusted.
  • Rilevare uso anomalo delle API COM/WMI da script non firmati.

6. Conclusioni

L’analisi di Defendnot ci porta a riflettere su un aspetto sempre più attuale della cybersecurity: non servono necessariamente exploit sofisticati o malware rumorosi per compromettere un sistema. In questo caso, lo strumento agisce in silenzio, sfruttando le stesse regole e API che Windows mette a disposizione per la gestione dei software di sicurezza. E lo fa in modo così pulito da passare facilmente inosservato, anche agli occhi di molti EDR.

Quello che colpisce è la semplicità e l’eleganza dell’attacco: nessuna modifica al registro, nessun bisogno di privilegi elevati, nessuna firma malevola nel file. Solo una falsa comunicazione al Security Center, che crede di vedere un altro antivirus attivo – e quindi disattiva Defender come previsto dalla logica del sistema operativo.

È un promemoria importante: oggi non basta installare un antivirus per sentirsi protetti. Serve visibilità, monitoraggio continuo e una buona dose di diffidenza verso tutto ciò che sembra “normale”. Serve anche conoscere strumenti come Defendnot per capire come si muovono gli attaccanti moderni – spesso sfruttando ciò che il sistema permette, piuttosto che forzarlo.

In ottica difensiva, è fondamentale:

  • Rafforzare le impostazioni di sicurezza, ad esempio attivando Tamper Protection.
  • Monitorare regolarmente lo stato dei provider registrati nel Security Center.
  • Utilizzare strumenti che vadano oltre la semplice firma o il comportamento, e che osservino come cambiano i contesti e le configurazioni del sistema.

In definitiva, Defendnot non è solo un malware: è un campanello d’allarme. Dimostra che le minacce più efficaci non sempre arrivano con il “classico” malware, ma spesso passano dalla zona grigia tra funzionalità lecite e uso malevolo. Ed è lì che dobbiamo concentrare le nostre difese.

Andrea Mongelli
Andrea Filippo Mongelli è un esperto di cybersecurity con consolidata esperienza in ambito istituzionale, bancario e difensivo. Specializzato in ethical hacking, ha condotto attività di penetration testing, simulazione di attacchi e valutazione delle vulnerabilità per enti governativi e infrastrutture critiche. Ha inoltre maturato una significativa esperienza in ambito incident response, gestendo e analizzando incidenti informatici complessi all’interno di Security Operations Center (SOC). È attivo nella formazione, partecipa a competizioni CTF e pubblica articoli su minacce informatiche emergenti per testate specialistiche e centri di intelligence.

Lista degli articoli

Articoli in evidenza

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani!

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...

Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...

Un Hacker divulga i dati sensibili dei politici spagnoli. Coinvolto anche il premier Pedro Sánchez

Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...

Arriva Skynet: il malware che Colpisce l’Intelligenza Artificiale!

Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...