Una nueva herramienta de investigación denominada Defendnot ha generado preocupación en la comunidad de ciberseguridad al demostrar cómo es posible desactivar Microsoft Defender en sistemas Windows, sin privilegios administrativos ni desinstalar componentes críticos, simplemente haciéndose pasar por un antivirus legítimo.
¿Cómo funciona el engaño?
Defendnot explota una funcionalidad poco documentada del Windows Security Center (WSC) API, diseñada originalmente para que los antivirus de terceros se registren como proveedores de seguridad en el sistema. Cuando Windows detecta un antivirus registrado correctamente, desactiva automáticamente Microsoft Defender para evitar conflictos entre múltiples motores de protección.
El creador de la herramienta, el investigador conocido como es3n1n, logró desarrollar una versión desde cero que evita problemas legales de herramientas previas como no-defender, la cual fue retirada de GitHub tras una solicitud DMCA por parte de un proveedor antivirus cuyo código se usó sin autorización.
Técnica de evasión: DLL + Taskmgr.exe
Para eludir los requisitos habituales del API (como la protección Protected Process Light (PPL) y firmas digitales válidas), Defendnot inyecta una DLL en el proceso Taskmgr.exe, una aplicación firmada y confiable por Microsoft. Desde este contexto privilegiado, la herramienta registra un “antivirus falso” con un nombre visual personalizado, logrando así desactivar Defender de inmediato.
Impacto: Una vez registrado, el sistema queda sin protección activa si no hay otro antivirus legítimo instalado.
Características adicionales de Defendnot
- Persistencia: Utiliza el Programador de tareas de Windows para ejecutarse en cada inicio de sesión.
- Configuración flexible: Permite definir el nombre del antivirus falso, habilitar/deshabilitar el registro y activar un modo de registro detallado usando un archivo ctx.bin.
- Detección activa: Microsoft ya ha comenzado a detectar y poner en cuarentena la herramienta como Win32/Sabsik.FL.!ml.
Riesgos y reflexiones
Aunque Defendnot fue presentado como un proyecto de investigación, su publicación pone en evidencia cómo APIs legítimas y procesos confiables pueden ser manipulados para desactivar protecciones esenciales sin levantar alertas inmediatas.
Este hallazgo reabre el debate sobre:
- La necesidad de endurecer la validación de registros en WSC.
- La facilidad con la que procesos firmados pueden ser utilizados como vectores de ataque.
- Los límites entre investigación legítima y herramientas que podrían ser abusadas por actores maliciosos.
Recomendaciones
- Verificar regularmente el estado de Microsoft Defender en endpoints, especialmente en entornos corporativos.
- Implementar soluciones EDR con capacidades de detección de manipulación de API y procesos.
- Restringir la ejecución de procesos no autorizados y monitorear anomalías en Task Scheduler.
- Mantener sistemas actualizados y reforzar el monitoreo de procesos confiables pero susceptibles de inyección.
