Bilgisayar korsanları, Windows Defender’ı atlatmak için sıra dışı bir yöntem keşfetti: “Defendnot” adlı araç, sahte bir antivirüs kaydı oluşturarak Microsoft’un güvenlik aracını sessizce devre dışı bırakıyor.

Güvenlik araştırmacısı es3n1n tarafından geliştirilen Defendnot, Windows Security Center’ın (WSC) daha önce belgelenmemiş bir API’sini kullanıyor. Bu API, üçüncü taraf antivirüs yazılımlarının sisteme kendini tanıtmasını sağlıyor. Normalde Windows Defender, başka bir antivirüs algıladığında otomatik olarak kapanarak çakışmayı önlüyor. Ancak Defendnot, sahte bir kayıt oluşturarak bu mekanizmayı manipüle ediyor.

Araç, zararsız bir DLL dosyası üzerinden sahte bir antivirüs kimliği yaratıyor ve kullanıcı oturum açtığında otomatik çalışan bir autorun özelliğiyle sisteme sızıyor. Böylece Windows Defender, gerçek bir güvenlik yazılımı yüklendiğini sanıyor ve kendini kapatıyor.

Geçmişten bugüne: “no-defender” skandalı ve DMCA engeli

Bu, es3n1n’in ilk denemesi değil. Daha önce “no-defender” adlı bir araçla benzer bir yöntem geliştiren araştırmacı, yazılımın popülerleşmesinin ardından beklenmedik bir sorunla karşılaştı. Kodun içinde, başka bir antivirüs şirketine ait parçalar tespit edildi. Şirketin DMCA (Dijital Milenyum Telif Hakkı Yasası) ihlali iddiasıyla yaptığı başvuru sonucu araç kaldırıldı.

Bu olayın ardından es3n1n, sıfırdan ve üçüncü taraf kod kullanmadan Defendnot’u geliştirdi. Amaç, güvenlik sistemlerinin zafiyetlerini ortaya çıkarmak olsa da, aracın kötü niyetli kişilerin eline geçme riski endişe yaratıyor.

Microsoft önlemini aldı: Defender artık Defendnot’u tanıyor

Microsoft, Defendnot’un tehlikesini hızlı fark etti. Güncel tanımlarla birlikte Defender, bu aracı “Win32/Sabsik.FL.!ml” olarak işaretleyip karantinaya alabiliyor. Ancak uzmanlar, benzer araçların farklı varyasyonlarının ortaya çıkabileceği konusunda uyarıyor.

Defendnot’un teknik detayları, siber saldırganların sıfırıncı gün (zero-day) açıkları kadar etkili yöntemler geliştirebildiğini gösteriyor. Araştırmacılar, bu tür araçların kimlik avı, fidye yazılımı veya veri hırsızlığı saldırılarında kullanılabileceğine dikkat çekiyor.

Defendnot, siber güvenlik dünyasının sürekli bir kedi-fare oyununa sahne olduğunu hatırlatıyor. Microsoft’un hızlı müdahalesi sevindirici olsa da, kullanıcıların proaktif önlemler alması şart. Peki sizce, hacker’ların bir sonraki hamlesi ne olacak?