İçerik Haritası
Windows Defender’ı devre dışı bırakan tehlike: Defendnot’un gerisindeki teknoloji ne?
Bilgisayar korsanları, Windows Defender’ı atlatmak için sıra dışı bir sistem keşfetti: “Defendnot” isimli araç, geçersiz bir antivirüs kaydı oluşturarak Microsoft’un güvenlik aracını sessizce devre dışı bırakıyor.
Güvenlik araştırmacısı es3n1n tarafından geliştirilen Defendnot, Windows Security Center’ın (WSC) daha evvel belgelenmemiş bir API’sini kullanıyor. Bu API, üçüncü taraf antivirüs yazılımlarının sisteme kendini tanıtmasını sağlıyor. Olağanda Windows Defender, öbür bir antivirüs algıladığında otomatik olarak kapanarak çakışmayı önlüyor. Lakin Defendnot, düzmece bir kayıt oluşturarak bu mekanizmayı manipüle ediyor.
Araç, zararsız bir DLL belgesi üzerinden uydurma bir antivirüs kimliği yaratıyor ve kullanıcı oturum açtığında otomatik çalışan bir autorun özelliğiyle sisteme sızıyor. Böylelikle Windows Defender, gerçek bir güvenlik yazılımı yüklendiğini sanıyor ve kendini kapatıyor.
Geçmişten bugüne: “no-defender” skandalı ve DMCA engeli
Bu, es3n1n’in birinci denemesi değil. Daha evvel “no-defender” isimli bir araçla emsal bir sistem geliştiren araştırmacı, yazılımın popülerleşmesinin akabinde beklenmedik bir problemle karşılaştı. Kodun içinde, öteki bir antivirüs şirketine ilişkin modüller tespit edildi. Şirketin DMCA (Dijital Milenyum Telif Hakkı Yasası) ihlali argümanıyla yaptığı müracaat sonucu araç kaldırıldı.
Bu olayın akabinde es3n1n, sıfırdan ve üçüncü taraf kod kullanmadan Defendnot’u geliştirdi. Emel, güvenlik sistemlerinin zafiyetlerini ortaya çıkarmak olsa da, aracın makûs niyetli şahısların eline geçme riski kaygı yaratıyor.
Microsoft tedbirini aldı: Defender artık Defendnot’u tanıyor
Microsoft, Defendnot’un tehlikesini süratli fark etti. Yeni tariflerle birlikte Defender, bu aracı “Win32/Sabsik.FL.!ml” olarak işaretleyip karantinaya alabiliyor. Fakat uzmanlar, benzeri araçların farklı varyasyonlarının ortaya çıkabileceği konusunda uyarıyor.
Defendnot’un teknik ayrıntıları, siber saldırganların sıfırıncı gün (zero-day) açıkları kadar tesirli usuller geliştirebildiğini gösteriyor. Araştırmacılar, bu cins araçların kimlik avı, fidye yazılımı yahut data hırsızlığı akınlarında kullanılabileceğine dikkat çekiyor.
Defendnot, siber güvenlik dünyasının daima bir kedi-fare oyununa sahne olduğunu hatırlatıyor. Microsoft’un süratli müdahalesi sevindirici olsa da, kullanıcıların proaktif tedbirler alması kaide. Pekala sizce, hacker’ların bir sonraki atılımı ne olacak?
Chip Alıntıdır…
