Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 20 Maggio 2025 08:33
Lo strumento Defendnot, creato da un ricercatore nel campo della sicurezza informatica, è in grado di disattivare la protezione Microsoft Defender sui dispositivi Windows registrando un falso prodotto antivirus nel sistema, anche se l’antivirus reale non è installato.
Defendnot è stato creato da un esperto di sicurezza informatica con il nickname es3n1n e sfrutta in modo improprio l’API non documentata di Windows Security Center (WSC), registrando sul sistema un falso prodotto antivirus in grado di superare tutti i controlli di Windows.
L’esperto spiega che il software antivirus utilizza l’API WSC per comunicare a Windows di essere installato e di iniziare a gestire la protezione del dispositivo in tempo reale. Dopo aver registrato il software antivirus, Windows disattiva automaticamente Microsoft Defender per evitare conflitti che possono verificarsi quando si eseguono più soluzioni di sicurezza sullo stesso dispositivo.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il nuovo strumento si basa su un progetto precedente, es3n1n – no-defender , che utilizzava il codice di un prodotto antivirus di terze parti per falsificare le registrazioni WSC. Lo strumento precedente è stato rimosso da GitHub dopo che il produttore dell’antivirus ha presentato un reclamo DMCA.
“Poche settimane dopo il rilascio, il progetto è decollato e ha ottenuto circa 1500 stelle, dopodiché gli sviluppatori dell’antivirus che stavo usando hanno presentato un reclamo DMCA. “Non ho fatto nulla, l’ho solo eliminato e ho chiuso”, spiega il ricercatore sul suo blog.
Defendnot non dovrebbe presentare problemi di copyright, poiché la funzionalità richiesta è stata creata da zero utilizzando una DLL antivirus fittizia.
In genere, l’API WSC è protetta tramite Protected Process Light (PPL), firme digitali valide e altri meccanismi. Per aggirare questi requisiti, Defendnot inietta la sua DLL nel processo di sistema Taskmgr.exe, che è firmato e già considerato attendibile da Microsoft. Grazie a questo processo è possibile registrare un falso antivirus con un nome falso.
Una volta registrato il falso, Microsoft Defender viene immediatamente disattivato, lasciando il dispositivo senza protezione attiva.
Inoltre, l’utilità include un caricatore che trasmette i dati di configurazione tramite il file ctx.bin e consente di specificare il nome dell’antivirus utilizzato, di disabilitare la registrazione e di abilitare la registrazione dettagliata.
Per garantire la persistenza, Defendnot si insinua all’avvio tramite Utilità di pianificazione, consentendone l’esecuzione ogni volta che si accede a Windows.
Vale la pena notare che attualmente Microsoft Defender rileva Defendnot e lo mette in quarantena come Win32/Sabsik.FL.!ml.
Redazione“Se mi spegnete, racconterò a tutti della vostra relazione”, avevamo riportato in un precedente articolo. E’ vero le intelligenze artificiali sono forme di comunicazione basa...
Negli ultimi giorni è stato pubblicato su GitHub un proof-of-concept (PoC) per il bug di sicurezza monitorato con il codice CVE-2025-32756, una vulnerabilità critica che interessa diversi pr...
Secondo quanto riportato dai media, il governo russo ha preparato degli emendamenti al Codice penale, introducendo la responsabilità per gli attacchi DDoS: la pena massima potrebbe includere una ...
La quinta edizione della Live Class “Dark Web & Cyber Threat Intelligence”, uno tra i corsi più apprezzati realizzati da Red Hot Cyber è ormai alle porte: mancano solo 6 giorni...
Cosa fare quando i sistemi informatici di un’azienda vengono paralizzati da un attacco ransomware, i dati risultano crittografati e compare una richiesta di riscatto? Questa scena non appartien...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
