Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Andrea Mongelli : 20 Maggio 2025 15:15

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di attacchi tradizionali, non richiede privilegi elevati, non modifica in modo permanente le chiavi di registro e non solleva alert immediati da parte dei software di difesa tradizionali o soluzioni EDR (Endpoint Detection and Response).

L’efficacia di Defendnot risiede nella sua capacità di interfacciarsi con le API e i meccanismi di sicurezza nativi del sistema operativo Windows, in particolare:

  • WMI (Windows Management Instrumentation)
  • COM (Component Object Model)
  • Windows Security Center (WSC)

2. Processi di esecuzione del Malware

2.1 Abuso del Windows Security Center (WSC)

Il comportamento principale del malware consiste nel simulare la presenza di un antivirus attivo tramite la registrazione fittizia nel WSC, inducendo Defender a disattivarsi automaticamente.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Windows Defender si disattiva se rileva la presenza di un altro antivirus “compatibile” registrato correttamente nel sistema.

    Questa simulazione viene ottenuta sfruttando interfacce COM, come IWSCProduct e IWSCProductList, e avvalendosi di script PowerShell o codice compilato (es. C++).

    2.2 Uso di WMI e COM senza Elevazione di Privilegi

    Defendnot non modifica GPO, non scrive nel registro e non uccide processi. Opera in modo stealth grazie a:

    • WMI Namespace: root\SecurityCenter2
    • COM Object: WSC.SecurityCenter2

    In molti contesti aziendali mal configurati, questi componenti possono essere invocati anche da utenti standard, rendendo il malware estremamente pericoloso in termini di lateral movement e persistence.

    2.3 Iniezione e Persistenza

    In alcuni casi, Defendnot può essere iniettato in processi fidati (es. taskmgr.exe) o configurato per l’esecuzione automatica tramite Task Scheduler o chiavi Run.

    3. Esempi Tecnici Pratici

    IDTecnicaDescrizioneObiettivoRischioPrivilegi Richiesti
    3.1WMI via PowerShellLettura stato antivirus da WSCOsservazione statoBassoNessuno
    3.2COM spoof C++Simulazione AV via COMDisattivazione DefenderAltoMedio
    3.3Get-Cim Defender StatusVerifica stato Defender direttoRilevamento disattivazioneBassoNessuno
    3.4MOF InjectionScrittura diretta in WMIPersistenza/BypassMolto altoAlto
    3.5Event WMI monitorIntercetta modifiche AV in tempo realeRilevamentoMedioNessuno
    3.6Scheduled Tasks CheckVerifica task sospettiPersistenzaMedioNessuno
    3.7MpPreference DumpStato delle protezioni di DefenderDiagnosticaBassoNessuno
    3.8DLL enum processo WSCControllo iniezioni DLLRilevamento AV fake o loaderAltoAlto
    3.9Firma AV BinariVerifica firma eseguibili registratiRilevamento spoofMedioNessuno

    3.1 Simulazione WMI via PowerShell

    Questo codice è legittimo ma può essere esteso per registrare falsi antivirus con stato “attivo e aggiornato”, forzando così la disattivazione di Defender.

    3.2 Spoofing avanzato in C++ (uso COM diretto)

    Questa simulazione è sufficiente a ingannare Defender e farlo disattivare come da policy Microsoft.

    3.3 Analisi dello Stato di Defender tramite WMI (PowerShell)

    Questo script permette di interrogare direttamente lo stato di Microsoft Defender, utile per verificare se è stato disattivato in modo anomalo.

    Utile per eseguire un controllo incrociato: se Defender risulta disattivato e non vi è alcun AV noto attivo, è probabile la presenza di spoofing o bypass.

    3.4 Registrazione Fittizia di AV via WMI Spoof (WMI MOF Injection – Teorico)

    Una tecnica usata in scenari più avanzati può includere MOF Injection per creare provider fittizi direttamente in WMI (esempio concettuale):

    Compilato con:

    Compilato con:

    mofcomp.exe fakeav.mof

    Questa tecnica è estremamente stealth e sfrutta la capacità di WMI di accettare nuovi provider persistenti. Va monitorata con attenzione.

    3.5 Monitoraggio WMI Eventi in Tempo Reale (PowerShell + WQL)

    Script che intercetta modifiche sospette al namespace SecurityCenter2:

    Questo è particolarmente utile in ambienti aziendali: può essere lasciato in esecuzione su server o endpoint sensibili per tracciare cambiamenti in tempo reale.

    3.6 Logging Persistente di AV Fittizi tramite Task Scheduler (PowerShell)

    Esempio per identificare eventuali task che iniettano strumenti di bypass all’avvio:

    Una semplice scansione dei task può rivelare meccanismi di persistenza non evidenti, soprattutto se il payload è un fake AV o un loader offuscato.

    3.7 Ispezione della Configurazione Defender tramite MpPreference

    Permette di individuare modifiche anomale o disabilitazioni silenziose:

    Se DisableRealtimeMonitoring è attivo, Defender è stato disattivato. Anche UILockdown può indicare manipolazioni da malware avanzati.

    3.8 Enumerazione e Verifica dei Moduli Caricati nel Processo WSC (C++)

    Controllare che non vi siano DLL anomale caricate nel processo del Security Center:

    Gli strumenti come Defendnot possono essere iniettati nel processo SecurityHealthService.exe. Il controllo dei moduli può rivelare DLL anomale.

    3.9 Identificazione di AV Fake tramite Analisi della Firma del File

    Esempio in PowerShell per analizzare i binari AV registrati:

    Gli AV fake spesso non sono firmati o hanno certificati self-signed. Questo controllo può essere integrato in audit automatizzati.

    4. Script di Monitoraggio e Rilevamento

    Per monitorare al meglio eventuali anomalie, si può usare un modulo centralizzato da eseguire sull’host Windows per avere una visione d’insieme su: 

    • Stato di Defender
    • Prodotti AV registrati
    • Anomalie nei nomi/firme
    • Task sospetti legati a fake AV

    Si consiglia di schedulare l’esecuzione di questa dashboard su base oraria tramite Task Scheduler, salvando l’output in file di log o inviandolo via e-mail. È anche possibile integrarlo con SIEM (Splunk, Sentinel, etc.) via forwarding del log ed è estendibile con funzionalità di auto-remediation, ad esempio disinstallazione o terminazione di AV sospetti.

    4.1 PowerShell: Rilevamento Anomalie in WSC

    Questo script decodifica lo stato binario dei provider AV registrati e lancia un allarme se rileva anomalie (es. nomi generici, binari non firmati o assenti).

    5. Strategie di Mitigazione e Difesa

    Per contenere e prevenire gli effetti di malware come Defendnot, si raccomanda di adottare un approccio multilivello:

    5.1. Monitoraggio WSC Periodico

    Automatizzare il controllo su base oraria/giornaliera e inviare alert su SIEM o email.

    5.2. Abilitare Tamper Protection

    Blocca modifiche non autorizzate alla configurazione di Defender, comprese modifiche via WMI o PowerShell.

    5.3. Applicare Policy di Lock-down

    Utilizzare Group Policy per disabilitare l’opzione “Disattiva Microsoft Defender”:

    Computer Configuration > Admin Templates > Microsoft Defender Antivirus > Turn off Defender = Disabled

    5.4. Controllo Accessi a WMI e COM

    Strumenti EDR devono tracciare accessi sospetti a:

    • root\SecurityCenter2
    • COM object WSC.SecurityCenter2
    • Script non firmati che accedono a questi componenti

     5.5. Rilevamento Comportamentale con EDR

    EDR avanzati devono essere configurati per:

    • Rilevare registrazioni anomale di provider AV.
    • Intercettare iniezioni in processi trusted.
    • Rilevare uso anomalo delle API COM/WMI da script non firmati.

    6. Conclusioni

    L’analisi di Defendnot ci porta a riflettere su un aspetto sempre più attuale della cybersecurity: non servono necessariamente exploit sofisticati o malware rumorosi per compromettere un sistema. In questo caso, lo strumento agisce in silenzio, sfruttando le stesse regole e API che Windows mette a disposizione per la gestione dei software di sicurezza. E lo fa in modo così pulito da passare facilmente inosservato, anche agli occhi di molti EDR.

    Quello che colpisce è la semplicità e l’eleganza dell’attacco: nessuna modifica al registro, nessun bisogno di privilegi elevati, nessuna firma malevola nel file. Solo una falsa comunicazione al Security Center, che crede di vedere un altro antivirus attivo – e quindi disattiva Defender come previsto dalla logica del sistema operativo.

    È un promemoria importante: oggi non basta installare un antivirus per sentirsi protetti. Serve visibilità, monitoraggio continuo e una buona dose di diffidenza verso tutto ciò che sembra “normale”. Serve anche conoscere strumenti come Defendnot per capire come si muovono gli attaccanti moderni – spesso sfruttando ciò che il sistema permette, piuttosto che forzarlo.

    In ottica difensiva, è fondamentale:

    • Rafforzare le impostazioni di sicurezza, ad esempio attivando Tamper Protection.
    • Monitorare regolarmente lo stato dei provider registrati nel Security Center.
    • Utilizzare strumenti che vadano oltre la semplice firma o il comportamento, e che osservino come cambiano i contesti e le configurazioni del sistema.

    In definitiva, Defendnot non è solo un malware: è un campanello d’allarme. Dimostra che le minacce più efficaci non sempre arrivano con il “classico” malware, ma spesso passano dalla zona grigia tra funzionalità lecite e uso malevolo. Ed è lì che dobbiamo concentrare le nostre difese.

    Andrea Mongelli
    Andrea Filippo Mongelli è un esperto di cybersecurity con consolidata esperienza in ambito istituzionale, bancario e difensivo. Specializzato in ethical hacking, ha condotto attività di penetration testing, simulazione di attacchi e valutazione delle vulnerabilità per enti governativi e infrastrutture critiche. Ha inoltre maturato una significativa esperienza in ambito incident response, gestendo e analizzando incidenti informatici complessi all’interno di Security Operations Center (SOC). È attivo nella formazione, partecipa a competizioni CTF e pubblica articoli su minacce informatiche emergenti per testate specialistiche e centri di intelligence.

    Lista degli articoli

    Articoli in evidenza

    QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR
    Di Redazione RHC - 01/09/2025

    La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...

    Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW)
    Di Redazione RHC - 01/09/2025

    Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...

    Falla critica in Linux: scoperta vulnerabilità con CVSS 8.5 nel demone UDisks
    Di Redazione RHC - 01/09/2025

    Una falla critica nella sicurezza del demone Linux UDisks è stata rilevata recentemente, che consente a potenziali malintenzionati senza privilegi di accedere a file appartenenti ad utenti con privil...

    LilyGO T-Embed CC1101 e Bruce Firmware, la community rende possibile lo studio dei Rolling Code
    Di Diego Bentivoglio - 01/09/2025

    La ricerca sulla sicurezza delle radiofrequenze non si ferma mai. Negli ultimi anni abbiamo visto nascere strumenti sempre più accessibili che hanno portato il mondo dell’hacking RF anche fuori dai...

    Stangata da 167 milioni: WhatsApp vince la causa contro NSO e il suo spyware Pegasus
    Di Redazione RHC - 01/09/2025

    In un’importante novità legale è alle porte. Un tribunale statunitense ha ordinato al gruppo NSO, noto produttore di spyware, di pagare 167 milioni di dollari a WhatsApp. Questa sentenza è la con...