Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Andrea Mongelli : 20 Maggio 2025 15:15

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di attacchi tradizionali, non richiede privilegi elevati, non modifica in modo permanente le chiavi di registro e non solleva alert immediati da parte dei software di difesa tradizionali o soluzioni EDR (Endpoint Detection and Response).

L’efficacia di Defendnot risiede nella sua capacità di interfacciarsi con le API e i meccanismi di sicurezza nativi del sistema operativo Windows, in particolare:

• WMI (Windows Management Instrumentation)
• COM (Component Object Model)
• Windows Security Center (WSC)

2. Processi di esecuzione del Malware

2.1 Abuso del Windows Security Center (WSC)

Il comportamento principale del malware consiste nel simulare la presenza di un antivirus attivo tramite la registrazione fittizia nel WSC, inducendo Defender a disattivarsi automaticamente.

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

L'acquisto del fumetto sul Cybersecurity Awareness

Ascoltando i nostri Podcast

Seguendo RHC su WhatsApp

Seguendo RHC su Telegram

Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

❝ Windows Defender si disattiva se rileva la presenza di un altro antivirus “compatibile” registrato correttamente nel sistema. ❞

Questa simulazione viene ottenuta sfruttando interfacce COM, come IWSCProduct e IWSCProductList, e avvalendosi di script PowerShell o codice compilato (es. C++).

2.2 Uso di WMI e COM senza Elevazione di Privilegi

Defendnot non modifica GPO, non scrive nel registro e non uccide processi. Opera in modo stealth grazie a:

• WMI Namespace: root\SecurityCenter2
• COM Object: WSC.SecurityCenter2

In molti contesti aziendali mal configurati, questi componenti possono essere invocati anche da utenti standard, rendendo il malware estremamente pericoloso in termini di lateral movement e persistence.

2.3 Iniezione e Persistenza

In alcuni casi, Defendnot può essere iniettato in processi fidati (es. taskmgr.exe) o configurato per l’esecuzione automatica tramite Task Scheduler o chiavi Run.

3. Esempi Tecnici Pratici

ID	Tecnica	Descrizione	Obiettivo	Rischio	Privilegi Richiesti
3.1	WMI via PowerShell	Lettura stato antivirus da WSC	Osservazione stato	Basso	Nessuno
3.2	COM spoof C++	Simulazione AV via COM	Disattivazione Defender	Alto	Medio
3.3	Get-Cim Defender Status	Verifica stato Defender diretto	Rilevamento disattivazione	Basso	Nessuno
3.4	MOF Injection	Scrittura diretta in WMI	Persistenza/Bypass	Molto alto	Alto
3.5	Event WMI monitor	Intercetta modifiche AV in tempo reale	Rilevamento	Medio	Nessuno
3.6	Scheduled Tasks Check	Verifica task sospetti	Persistenza	Medio	Nessuno
3.7	MpPreference Dump	Stato delle protezioni di Defender	Diagnostica	Basso	Nessuno
3.8	DLL enum processo WSC	Controllo iniezioni DLL	Rilevamento AV fake o loader	Alto	Alto
3.9	Firma AV Binari	Verifica firma eseguibili registrati	Rilevamento spoof	Medio	Nessuno

3.1 Simulazione WMI via PowerShell

Questo codice è legittimo ma può essere esteso per registrare falsi antivirus con stato “attivo e aggiornato”, forzando così la disattivazione di Defender.

3.2 Spoofing avanzato in C++ (uso COM diretto)

Questa simulazione è sufficiente a ingannare Defender e farlo disattivare come da policy Microsoft.

3.3 Analisi dello Stato di Defender tramite WMI (PowerShell)

Questo script permette di interrogare direttamente lo stato di Microsoft Defender, utile per verificare se è stato disattivato in modo anomalo.

Utile per eseguire un controllo incrociato: se Defender risulta disattivato e non vi è alcun AV noto attivo, è probabile la presenza di spoofing o bypass.

3.4 Registrazione Fittizia di AV via WMI Spoof (WMI MOF Injection – Teorico)

Una tecnica usata in scenari più avanzati può includere MOF Injection per creare provider fittizi direttamente in WMI (esempio concettuale):

Compilato con:

Compilato con:

mofcomp.exe fakeav.mof

Questa tecnica è estremamente stealth e sfrutta la capacità di WMI di accettare nuovi provider persistenti. Va monitorata con attenzione.

3.5 Monitoraggio WMI Eventi in Tempo Reale (PowerShell + WQL)

Script che intercetta modifiche sospette al namespace SecurityCenter2:

Questo è particolarmente utile in ambienti aziendali: può essere lasciato in esecuzione su server o endpoint sensibili per tracciare cambiamenti in tempo reale.

3.6 Logging Persistente di AV Fittizi tramite Task Scheduler (PowerShell)

Esempio per identificare eventuali task che iniettano strumenti di bypass all’avvio:

Una semplice scansione dei task può rivelare meccanismi di persistenza non evidenti, soprattutto se il payload è un fake AV o un loader offuscato.

3.7 Ispezione della Configurazione Defender tramite MpPreference

Permette di individuare modifiche anomale o disabilitazioni silenziose:

Se DisableRealtimeMonitoring è attivo, Defender è stato disattivato. Anche UILockdown può indicare manipolazioni da malware avanzati.

3.8 Enumerazione e Verifica dei Moduli Caricati nel Processo WSC (C++)

Controllare che non vi siano DLL anomale caricate nel processo del Security Center:

Gli strumenti come Defendnot possono essere iniettati nel processo SecurityHealthService.exe. Il controllo dei moduli può rivelare DLL anomale.

3.9 Identificazione di AV Fake tramite Analisi della Firma del File

Esempio in PowerShell per analizzare i binari AV registrati:

Gli AV fake spesso non sono firmati o hanno certificati self-signed. Questo controllo può essere integrato in audit automatizzati.

4. Script di Monitoraggio e Rilevamento

Per monitorare al meglio eventuali anomalie, si può usare un modulo centralizzato da eseguire sull’host Windows per avere una visione d’insieme su: 

• Stato di Defender
• Prodotti AV registrati
• Anomalie nei nomi/firme
• Task sospetti legati a fake AV

Si consiglia di schedulare l’esecuzione di questa dashboard su base oraria tramite Task Scheduler, salvando l’output in file di log o inviandolo via e-mail. È anche possibile integrarlo con SIEM (Splunk, Sentinel, etc.) via forwarding del log ed è estendibile con funzionalità di auto-remediation, ad esempio disinstallazione o terminazione di AV sospetti.

4.1 PowerShell: Rilevamento Anomalie in WSC

Questo script decodifica lo stato binario dei provider AV registrati e lancia un allarme se rileva anomalie (es. nomi generici, binari non firmati o assenti).

5. Strategie di Mitigazione e Difesa

Per contenere e prevenire gli effetti di malware come Defendnot, si raccomanda di adottare un approccio multilivello:

5.1. Monitoraggio WSC Periodico

Automatizzare il controllo su base oraria/giornaliera e inviare alert su SIEM o email.

5.2. Abilitare Tamper Protection

Blocca modifiche non autorizzate alla configurazione di Defender, comprese modifiche via WMI o PowerShell.

5.3. Applicare Policy di Lock-down

Utilizzare Group Policy per disabilitare l’opzione “Disattiva Microsoft Defender”:

Computer Configuration > Admin Templates > Microsoft Defender Antivirus > Turn off Defender = Disabled

5.4. Controllo Accessi a WMI e COM

Strumenti EDR devono tracciare accessi sospetti a:

• root\SecurityCenter2
• COM object WSC.SecurityCenter2
• Script non firmati che accedono a questi componenti

 5.5. Rilevamento Comportamentale con EDR

EDR avanzati devono essere configurati per:

• Rilevare registrazioni anomale di provider AV.
• Intercettare iniezioni in processi trusted.
• Rilevare uso anomalo delle API COM/WMI da script non firmati.

6. Conclusioni

L’analisi di Defendnot ci porta a riflettere su un aspetto sempre più attuale della cybersecurity: non servono necessariamente exploit sofisticati o malware rumorosi per compromettere un sistema. In questo caso, lo strumento agisce in silenzio, sfruttando le stesse regole e API che Windows mette a disposizione per la gestione dei software di sicurezza. E lo fa in modo così pulito da passare facilmente inosservato, anche agli occhi di molti EDR.

Quello che colpisce è la semplicità e l’eleganza dell’attacco: nessuna modifica al registro, nessun bisogno di privilegi elevati, nessuna firma malevola nel file. Solo una falsa comunicazione al Security Center, che crede di vedere un altro antivirus attivo – e quindi disattiva Defender come previsto dalla logica del sistema operativo.

È un promemoria importante: oggi non basta installare un antivirus per sentirsi protetti. Serve visibilità, monitoraggio continuo e una buona dose di diffidenza verso tutto ciò che sembra “normale”. Serve anche conoscere strumenti come Defendnot per capire come si muovono gli attaccanti moderni – spesso sfruttando ciò che il sistema permette, piuttosto che forzarlo.

In ottica difensiva, è fondamentale:

• Rafforzare le impostazioni di sicurezza, ad esempio attivando Tamper Protection.
• Monitorare regolarmente lo stato dei provider registrati nel Security Center.
• Utilizzare strumenti che vadano oltre la semplice firma o il comportamento, e che osservino come cambiano i contesti e le configurazioni del sistema.

In definitiva, Defendnot non è solo un malware: è un campanello d’allarme. Dimostra che le minacce più efficaci non sempre arrivano con il “classico” malware, ma spesso passano dalla zona grigia tra funzionalità lecite e uso malevolo. Ed è lì che dobbiamo concentrare le nostre difese.