Teknoloji

Windows Defender, sahte antivirüs yazılımları tarafından etkisiz hale getirilebilir.

Tekno Mola

Microsoft’un Windows işletim sistemlerinde sağladığı koruma aracı olan Defender, yeni bir yazılım sayesinde kandırılabiliyor. “Defendnot” olarak adlandırılan bu araç, Windows’un güvenlik bileşenlerini manipüle ederek meşru bir antivirüs gibi görünmesini sağlıyor. Gerçekte bir antivirüs olup olmadığını gizleyerek Defender’ın devre dışı kalmasına yol açıyor. Bu aracı geliştiren kişi, daha önce benzer bir yazılım da geliştiren es3n1n olarak biliniyor.

Defendnot’un çalışma prensibi, Microsoft tarafından belgelenmemiş bir API’yi kullanarak sistemdeki güvenlik merkezine yanıltıcı bilgiler göndermesine dayanıyor. Bu API, antivirüs yazılımlarının Windows Güvenlik Merkezi’ne kendilerini tanıtmak için kullanılıyor. Normal koşullarda, bir güvenlik yazılımı sisteme tanıtıldığında, Defender bu durumu engellemek amacıyla devre dışı kalıyor. Defendnot da bu durumu manipüle ederek sisteme var olmayan bir koruma yazılımı imajı çiziyor.

Aracın en dikkat çekici özelliklerinden biri, Windows’un Görev Yöneticisi süreci olan Taskmgr.exe’ye müdahale etmesidir. Bu işlem, Microsoft tarafından imzalanmış ve sistemde güvenilir kabul edilmektedir. Defendnot, özel olarak geliştirilmiş bir DLL dosyasını bu sürece enjekte ederek antivirüs kaydı işlemini gerçekleştiriyor. Böylece sistemde meşru bir güvenlik uygulaması varmış izlenimini yaratıyor.

Görev Yöneticisi sürecine eklenen kodla Defender etkisiz hale geliyor

Bu müdahale sonrasında, kullanıcı farkında olmasa bile sistem korumasız kalıyor. Microsoft Defender kapanmış oluyor fakat kullanıcıya bu konuda bir uyarı yapılmadığı için durum gözden kaçabiliyor. Özellikle kurumsal sistemlerde, böyle bir zafiyet daha büyük güvenlik sorunlarına yol açma potansiyeline sahiptir. Sistem, zararlı yazılımların serbestçe çalışabileceği bir ortam haline geliyor.

es3n1n, bu aracı yalnızca güvenlik araştırmaları amacıyla geliştirdiğini belirtiyor. Ancak geçmişte benzer yazılımların kötü niyetli kişiler tarafından kullanıldığı biliniyor. Özellikle kimlik bilgilerini hedef alan saldırılarda bu tür açıklardan yararlanıldığı kaydedilmektedir. Bu nedenle, Defendnot’un sadece araştırma amaçlı geliştirilmiş olması, potansiyel riskleri ortadan kaldırmıyor.

Geliştirici, daha önce de Defender’ı etkisiz hale getirmek için “no-defender” adındaki bir yazılım geliştirmişti. Fakat bu eski sürüm, bir antivirüs yazılımının kodlarını içerdiğinden GitHub tarafından telif hakkı nedeniyle kaldırılmıştı. Defendnot ise tamamen sıfırdan yazıldığı için aynı gerekçeyle kaldırılması beklenmiyor. Bu durum, aracın farklı kanallar aracılığıyla dağıtılmasına olanak sağlıyor.

Microsoft, son güncellemeleriyle bu aracı tanımaya başlamış durumda. Defender, Defendnot’u artık bir Truva atı olarak tanımlıyor ve karantinaya alıyor. Ancak bu, sadece güncel sistemler için geçerlidir. Güncelleme almayan veya eski sürümler kullanan sistemlerde aracın etkisi devam etmekte.

Defendnot’un kaynak kodu henüz geniş bir kitleyle paylaşılmadı. Geliştirici, geçmişte yaşanan hukuki sorunlar nedeniyle daha dikkatli davranıyor. Ancak bu durum, aracın sızdırılmasını ya da kopyalarının paylaşılmasını engelleyemiyor. Bazı güvenlik forumlarında benzer yapılar hakkında yorumlar yapıldığı bildirilmektedir.

Siber güvenlik uzmanları, bu tür araçların Windows’un temel güvenlik yapısındaki zayıflıkları ortaya çıkardığını ifade ediyor. Özellikle işletim sisteminin Defender gibi bir güvenlik katmanını yalnızca tanımlama bilgisine dayanarak kapatması, suistimale açık bir durum yaratıyor. Bu nedenle, Defender’ın kendini doğrulama ve koruma mekanizmalarının yeniden gözden geçirilmesi gerektiği vurgulanıyor.

Kullanıcılar ve sistem yöneticilerinin, Defender’ın aktif olduğunu kontrol etmeleri ve üçüncü taraf antivirüs yazılımlarını dikkatle seçmeleri kritik öneme sahiptir. Ayrıca, işletim sistemlerinin ve güvenlik bileşenlerinin güncel tutulması, bu tür araçların sistem üzerinde etkili olmasını önleyebilir. Geliştirilen araçlar, ne kadar araştırma amacı taşısa da, yaygın şekilde kullanılmaları durumunda ciddi güvenlik riskleri doğurabileceği unutulmamalıdır.

Bunları da sevebilirsiniz

Plex, yeni bir güvenlik ihlali yaşanmasının ardından kullanıcılarını şifrelerini değiştirmeye teşvik etti.

Tekno Mola

Samsung’un üçe katlanabilir ekranlı ilk akıllı telefonunun üçüncü çeyrekte tanıtılması bekleniyor.

Tekno Mola

Samsung Galaxy S25 Slim’in lansmanı mayıs ayına ertelenebilir.

Tekno Mola

Bir yanıt yazın