現時越來越多公司採取BYOB(Bring Your Own Device)的政策,也為公司的資安帶來新風險,即使要求在所有工作裝置上安裝保安軟件,但總有員工認為防毒軟件是一種阻礙,甚至註冊假防毒軟件以關閉Microsoft Defender。
利用假冒防毒軟件關閉Microsoft Defender
Defendnot的第一個版本名為no-defender,它的工作是關閉內置的Windows Defender防毒軟件,為了完成工作,研究人員es3n1n利用了Windows Security Center(WSC) API的弱點,透過通知系統防毒軟件已經安裝及已開始即時防護,Windows會自動關閉Microsoft Defender以避免不同保安方案同時在相同裝置運行時發生衝突。使用現有保安方案的編碼,研究人員創作他們自己的假防毒,並在系統註冊及通過所有Windows檢查,一旦關閉Microsoft Defender,裝置便處於無防護狀態。
No-defender專案在GitHub上迅速吸引不少關注,並獲得超過2000顆星,然而防毒開發公司以代碼被盜用及違反《數碼千鿋年版權法》(Digital Millennium Copyright Act, DMCA)提出訴訟,研究人員被避從GitHub移除該專案,只留下一個描述頁面。
Defendnot如何繼承no-defender
故事並未完結,在一年後紐西蘭程式員MrBruh促使es3n1n開發一個不倚賴第三方編碼版本的no-defender,在不眠不休四天後寫出一個名為Defendnot的新工具,它的核心是偽裝成合法防毒的DLL,為了繞過所有WSC API檢查,包括Protected Process Light(PPL)、數碼簽章和其他機制,Defendnot把它的DLL加入Taskmgr.exe,該程式已簽署並被已被Microsoft視為受信任,該工具之後註冊假防毒軟件,使Microsoft Defender便會立即關閉Microsoft Defender,令裝置失去主動防護。此外,Defendnot容許用戶設定任何名字的「防毒軟件」,一如以往,該專案在GitHub上大受歡迎,暫時已獲得2100夥星。安裝 Defendnot需要用戶持有管理員權限,對於使用個人裝置的員工而言通常都會持有。
防範公司設施受BYOD不當使用影響
Defendnot和no-defender都屬於研究項目,兩款工具都展示了受信系統機制能夠被操控和關閉防護功能,這意味著不能無條件地信任Windows說的話,為免公司的數碼環境受到威脅,建議加強一系列額外BYOB安全措施:
- 可以的話強制BYOB裝置持有者安裝可靠的企業防護,並由公司的資安團隊所管理。
- 如果不可以的話,不要因為已安裝防毒軟件便認為BYOB裝置可信任,並限制它們存取公司系統。
- 嚴格限制存取權限,確保員工因應職責而獲得相應權限。
- 特別注意BYOB裝置在公司系統的活動,部署XDR方案監察異常行為。
- 培訓員工基本網絡安全,使他們明白防毒軟件如何運作和為何不應該關閉它。
資料來源:Kaspersky Blog
