Schrödingers Antivirus: Ist der Schutz tot oder lebendig?

Viele Unternehmen erlauben inzwischen Bring Your Own Device (BYOD) – eine Richtlinie, die Mitarbeitern gestattet, eigene Geräte für geschäftliche Zwecke zu nutzen. Besonders verbreitet ist diese Praxis in Unternehmen, die Fernarbeit bevorzugen. Bei allen Vorteilen birgt die Implementierung von BYOD jedoch auch neue Risiken für die Cybersicherheit.

IT-Sicherheitsabteilungen verlangen gewöhnlich, dass auf allen geschäftlich genutzten Geräten Sicherheitssoftware installiert wird. Anders wäre es kaum möglich, Systeme vor Bedrohungen zu schützen. Doch gibt es immer wieder Mitarbeiter, die Antivirenprogramme nicht als Hilfe betrachten, sondern eher als Hindernis. Dies gilt insbesondere für einige Technikfreaks.

Sicher nicht die vernünftigste Einstellung, aber bekanntlich lassen sich nicht alle vom Gegenteil überzeugen. Das Problem: Mitarbeiter, die es vermeintlich besser wissen, finden immer einen Weg, das System zu täuschen. Heute untersuchen wir eine solche Methode: das neue Forschung-Tool Defendnot, das Microsoft Defender auf Windows-Geräten deaktiviert, indem es eine gefälschte Antivirensoftware registriert.

no-defender nutzt ein gefälschtes Antivirenprogramm, um Microsoft Defender zu deaktivieren

Um zu verstehen, wie Defendnot den Microsoft Defender ausschaltet, müssen wir die Uhr ein Jahr zurückdrehen. Damals programmierte ein Forscher mit dem X-Account es3n1n die erste Version des Tools und veröffentlichte es auf GitHub. Es hieß no-defender und hatte die Aufgabe, Windows Defender (das hauseigene Antivirenprogramm von Windows) zu deaktivieren.

Zu diesem Zweck nutzte es3n1n eine Schwachstelle in der API des Windows-Sicherheitscenters (WSC) aus. Die Antivirensoftware nutzt eine Funktion, um dem Betriebssystem in Echtzeit mitzuteilen, dass sie installiert wurde und bereit ist, das Gerät zu schützen. Aufgrund dieser Meldung deaktiviert Windows automatisch Microsoft Defender. Dadurch werden Konflikte vermieden, die bei mehreren gleichzeitig ausgeführten Sicherheitslösungen auf einem Gerät möglich wären.

Der Forscher nutzte den Code einer vorhandenen Sicherheitslösung und bastelte ein neues gefälschtes Antivirenprogramm. Die Fälschung konnte sich im System registrieren und bestand alle Windows-Überprüfungen. Nach der Deaktivierung von Microsoft Defender stand das Gerät völlig wehrlos da, da no-defender keinerlei Schutz bot.

Das no-defender-Projekt hatte auf GitHub schnell eine echte Fangemeinde und sammelte über 2.000 Sternchen. Das Antiviren-Entwicklerunternehmen, auf dessen Code no-defender beruhte, beschwerte sich allerdings wegen Verstoßes gegen den Digital Millennium Copyright Act (DMCA). Darum musste es3n1n den Projektcode von GitHub entfernen, und es blieb nur eine Beschreibungsseite übrig.

Defendnot als Nachfolger von no-defender

Aber die Geschichte noch weiter. Etwa ein Jahr später hatte der neuseeländische Programmierer MrBruh eine Idee: Er schlug es3n1n vor, eine Version von no-defender zu entwickeln, die ohne Code von Drittanbietern funktionierte. es3n1n nahm die Herausforderung an, schrieb innerhalb von vier schlaflosen Nächten ein neues Tool und taufte es „Defendnot“.

Das Herzstück von Defendnot war eine DLL-Attrappe, die sich als legitimes Antivirenprogramm ausgab. Die WSC-API verwendet Protected Process Light (PPL), digitale Signaturen und andere Mechanismen. Um alle Prüfungen zu umgehen, injiziert Defendnot seine DLL in die Taskmgr.exe, die signiert ist und von Microsoft als vertrauenswürdig eingestuft wird. Anschließend registriert das Tool den gefälschten Antivirus und veranlasst Microsoft Defender, sich zu grußlos zu verabschieden und das Gerät ohne aktiven Schutz zurückzulassen.

Darüber hinaus erlaubt Defendnot dem Nutzer, dem „Antivirenprogramm“ einen beliebigen Namen zuzuweisen. Ähnlich wie sein Vorgänger wurde dieses Projekt auf GitHub zu einem Hit und hatte schon zu Beginn 2.100 Sternchen. Für die Installation von Defendnot sind Administratorrechte notwendig (was aber auf privaten Geräten von Mitarbeitern kein Problem ist).

So schützt du deine Unternehmensinfrastruktur vor BYOD-Missbrauch

Defendnot und no-defender werden als Experimente positioniert. Beide Tools manipulieren vertrauenswürdige Systemmechanismen, um Schutzfunktionen zu deaktivieren. Die Schlussfolgerung ist klar: Man kann nicht allem vertrauen, was Windows sagt.

Die digitale Infrastruktur deines Unternehmens muss so sicher wie möglich sein. Darum unser Rat: Nimm zusätzliche Sicherheitsmaßnahmen in die BYOD-Richtlinie auf:

• Die Besitzer von BYOD-Geräten müssen einen zuverlässigen Unternehmensschutz installieren, der vom Informationssicherheitsteam des Unternehmens verwaltet werden sollte.
• Ist dies nicht möglich, dürfen BYOD-Geräte nicht als vertrauenswürdig gelten, nur weil Antivirensoftware darauf installiert ist. Solche Geräte erhalten nur beschränkten Zugriff auf Unternehmenssysteme.
• Die Berechtigungen müssen streng kontrolliert werden, um sicherzustellen, dass sie den dienstlichen Pflichten der Mitarbeiter entsprechen.
• Achte in Unternehmenssystemen besonders auf die Aktivität von BYOD-Geräten und stelle eine XDR-Lösung bereit, die Verhaltensanomalien überwacht.
• Schule deine Mitarbeiter in den Grundlagen der Cybersicherheit, damit sie verstehen, wie Antivirenprogramme funktionieren und warum sie nicht deaktiviert werden dürfen. Dabei kann dir unsere Kaspersky Automated Security Awareness Platform helfen – sie bietet alles, was du brauchst und sogar noch mehr.