Den Defender unter Windows mit symbolischen Links ausknipsen

Sicherheit (Pexels, allgemeine Nutzung)[English]Symbolische Links ermöglichen es unter Windows den Defender als Virenschutz auszuknipsen, ohne dass man Features wie Tamper Protection abschalten muss. Der Ansatz lässt den Defender beim Scan schlicht in den Wald laufen, weil der Virenscanner auf andere Ordner umgeleitet wird. Ich bin vor einiger Zeit auf entsprechende Hinweise gestoßen, die ich kurz besprechen möchte.


Anzeige

Das Ganze ist mir über nachfolgenden Tweet zur Kenntnis gelangt, die zugehörigen Ausführungen finden sich im Artikel Killing Defender through NT symbolic links redirection.

Defender unter Windows ausknipsen

Es benötigt lediglich Administratorrechte, um den Defender unter Windows daran zu hindern, seine Arbeit auszuführen. Es ist nicht einmal ein Zugriff auf die GUI des Betriebssystems erforderlich, um den Manipulationsschutz (Tamper Protection) zu deaktivieren. Alles, was man tun muss, ist den symbolischen NT-Link

\Device\BootDevice


Anzeige

umzuleiten. Die Verzeichnisangabe ist Teil des NT-Pfads, von dem aus das WdFilter-Treiber-Binary von Defender geladen wird. Beim Laden eines Treibers in Windows gibt es zwei Möglichkeiten, um anzugeben, wo sich die Treiber-Binärdatei im Dateisystem befindet: Win32-Pfade und NT-Pfade.

Win32-Pfade sind eine abgespeckte Version der umfassenderen NT-Pfade und stützen sich stark auf symbolische NT-Links. Ein Win32-Pfad auf den Filtertreiber sieht dann so aus:

C:\Windows\System32\Driver\wd\WdFilter.sys

während der NT-Pfad folgendermaßen geschrieben wird:

\Device\HarddiskVolume4\Windows\System32\Driver\wd\WdFilter.sy

NT-Pfade können symbolische NT-Links enthalten. Die Autoren des verlinkten Artikels haben Code erstellt, um die betreffenden NT-Pfade durch symbolische Links auf andere Verzeichnisinhalte auf einem Laufwerk umzuleiten. Der Defender läuft dann zwar weiter, kann aber nichts sinnvolles mehr scannen.

Diese Technik kann auch verwendet werden, um den Defender dazu zu bringen, einen beliebigen Treiber zu laden, der von keinem Tool gefunden werden kann, der aber keinen Neustart überlebt. Der Code dazu befindet sich in APTortellinis Github-Repository unDefender. Details des Konzepts sind dem Artikel hier zu entnehmen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Den Defender unter Windows mit symbolischen Links ausknipsen

  1. Blubmann sagt:

    Hab den verlinkten Artikel nicht lesen können, weil ich etwas unter Stress stehe. Aber könnte das nicht von Malware ausgenutzt werden, damit sie sich vor dem Echtzeitscanner verstecken können?

    • Alexander Meckelein sagt:

      Äh, jain. Wie im Artikel steht "Es benötigt lediglich Administratorrechte…" und wenn ich schon Admin Rechte habe, dann ignoriere ich den Defender einfach :)

      Was hieran interessant ist, ist die Möglichkeit meine "Schadsoftware" durch den Windows Defender unter anderen Namen zu laden. Und die sog. "Tamper Protection" vom Windows Defender auszuhebeln, welche eigentlich genau dafür da ist, dass so etwas nicht passiert.

      Meiner Meinung nach zeigt das hier einfach nur nochmal, dass es im Bezug auf Security eben nicht genügt, einfach die nächste Ladung Schlangenöl Software oben drauf zu packen. Also in diesem Falle den Windows Defender zusätzlich durch Tamper Protection zu schützen.

      • 1ST1 sagt:

        Natürlich kann man mit Adminrechten noch ganz andere Sachen machen. Aber ein abgeschalteter Defender, oder generell Antivirus, erleichtert dem Angreifer auch mit Adminrechten, Schadcode auszuführen. Darüber hinaus, wenn der Defender per Configuration-Manager (ex sccm) zentral überwacht wird, fällt ein so ausgeknipster Defender nicht mal auf, weil er ja immer noch läft, nur eben blind ist. Ohne funktionsfähigen Antivirus ist numal jeder Angriff leichter.

    • Günter Born sagt:

      Genau dies ist die Gefahr. Dass man Admin-Rechte für den symbolischen Link braucht, ist nur eine Nebensache. Ein Malware-Autor muss ja gleich mehrere Ziele erreichen.

      1. Das System infiltrieren und sich dann Administrator-Berechtigungen verschaffen – geht meist über Schwachstellen.
      2. Sich im System einnisten und unentdeckt bleiben, um seine Operationen durch die Malware ausführen zu können.

      Das letztgenannte wäre beispielsweise bei WebShells, die bei Angriffen auf Exchange Server eingerichtet werden, sehr effektiv. Denn der Defender wurde von Microsoft ja so erweitert, dass er solche WebShells erkennen kann. Wenn er dann bestimmte Verzeichnisse nicht mehr scannen kann, hat der Angreifer einen blinden Fleck geschaffen.

    • Alex sagt:

      Das ist quasi ein goldenes Einhorn für Schadcode

      Mit einer code Zeile kann man etwas ausführen unter dem alias des legitimen Windows Defenders.

      Kann also Schadsoftware verstecken mit board Mitteln die in jedem Windows Rechner vorhanden sind.

      Mit einer weiteren Zeile kann man den Defender dann ausschalten ohne Symptome.

  2. Anonymous sagt:

    Sollten andere Scanner nicht auch damit zu verwirren sein.

  3. Paul sagt:

    Kann mir wer mal erklären wie es zu so einem Problem überhaupt kommen kann?

    Wir verbiegen den Link ins nirwana.
    Der zuladende Treiber ist also "mangels Masse" nicht ladbar.
    Das stellt der Loader ja schnell fest.
    Was dann zu tun ist einstellbar (Abbrechen, nochmal probieren etc.)
    Es gibt aber auf jeden Fall einen Eintrag im Eventlog, oder etwa nicht?
    OK, wer guckt schon in diesen, wenn ja alles funktioniert…

    Aber
    Nun will die Applikation irgendwas von dem "Treiber".
    Da der Treiber nicht da ist, bekommt die App keinen Handle dafür, sonderm eine Fehler-Code.
    Hallo? Wie kann das denn ignoriert werden?
    Alle machen Fehler. Aber keine Prüfung eines Handles? Das deutet
    auf extremen Zeitdruck hin oder ? (Fehlerbehandlung kostet Code, also Zeit).
    Oder will/kann der Defender dann irgendwie anders prüfen?
    Oder zieht sich der Defender zurück, weil er glaubt das ein anderer Scanner ihn auf die Finger geklopft hat?

    Wo ist mein Denkfehler?

  4. Stephan sagt:

    Wie ja schon richtig erkannt wurde, benötigt man dazu Admin rechte.

    Was hindert mich daran, wenn ich sowieso schon Admin bin, den Defender einfach so Abzuschalten.
    Dann muss ich nicht mit irgendwelchen Tricks Arbeiten um Schadcode auszuführen.

    Wiedermal eine etwas Übertriebene sicherheitslücke.
    Als Admin habe ich ganz andere möglichkeiten, als mich um den Defender zu kümmern.

    • FriedeFreudeEierkuchen sagt:

      "Wiedermal eine etwas Übertriebene sicherheitslücke."
      Aus den Erfahrungen der Vergangenheit wäre ich extrem vorsichtig mit so einer Aussage. Ob sich daraus noch etwas größeres konstruieren lässt, wird man sehen. Und alleine schon das Bestehen einer solch simplen Lücke ist nicht sehr vertrauenserweckend.

      • Stephan sagt:

        Warum sollte man vorsichtig damit sein ?

        Eine Sicherheitslücke ist keine sicherheitslücke, wenn ein als Administrator angemeldeter Benutzer eine Funktion Deaktiviert.

        Dabei spiel es keine Rolle, ob er sie (den Defender) nun durch einen Bug oder durch 5 Normale Mausklicks Deaktiviert.

        Ich warte ja immernoch darauf, das hier ein FORMAT in einer Administrator Shell als Sicherheitsrisiko eingestuft wird.

        Solange ein Normaler benutzer mit eingeschränkten rechten das alles nicht kann ist das auch kein Problem.

        • Günter Born sagt:

          Ich formuliere es mal sehr zurückhaltend.

          Die Beiträge hier stellen eine Information oder einen Sachverhalt dar, nicht mehr und nicht weniger.

          Ich erwarte nicht, dass jeder Leser die Sichtweise eines Red-Teams bei Penetrations-Tests annimmt. Von guten Leuten erwarte ich aber, dass sie die Informationen aufnehmen, an ihrer Umgebung spiegeln bewerten und ihre Rückschlüsse ziehen.

          Aus deiner Argumentation entnehme ich, dass es für dich kein Problem darstellt – das geht für mich in Ordnung.

          Für die Mitleser: Macht euch schlicht einfach einige Gedanken darüber, dass die gängigen Admins unter Windows 10 mit lokalen oder AD-Konten unterwegs sind, informiert euch über UAC-Bypassing und macht euch auch etwas in Sachen Computer-Forensik schlau. Vielleicht klingelt dann was.

  5. Patrick sagt:

    Nicht unberücksichtigt sollte bleiben, dass jeder "Normalanwender" von Windows bis heute als Administrator angemeldet arbeitet. Will man das ändern, müsste zunächst einmal ein Nutzer mit eingeschränkten Rechten eingerichtet werden …

    • Günter Born sagt:

      Selbst das Anlegen eines Standardbenutzerkontos führt in der Praxis nicht wirklich weiter. Ich erinnere mich, hier im Blog darauf hingewiesen zu haben, dass das Arbeiten mit Konten aus der Gruppe der Administratoren für diese Klientel seit Windows 10 geradezu erzwungen wird. Alles, was über die Einstellungen-Seite an administrativen Aufgaben ausgeführt werden soll, muss zwingend unter einem Administratorkonto erfolgen.

      Unter Standard-Nutzerkonten fehlen nämlich die betreffenden Befehle in der Einstellungen-Seite – die UAC-Befehle der Systemsteuerung gibt es dort nämlich nicht mehr. Meine Überlegungen aus 2017 samt den diversen Kommentaren lassen sich im Blog-Beitrag Windows 10-Administration: Fehlentwicklung in Sachen Sicherheit? nachlesen.

      Ich habe seinerzeit nur über die Argumentation der Leute gestaunt (da waren einige der felsenfesten Überzeugung, dass das Trennen der Konten und die fehlende Möglichkeit zur UAC-Nutzung was gutes sei) …

      Und erinnerungsmäßig habe ich vor 1-2 Jahren einige bloggende Kollegen darauf hingewiesen, dass deren diverse Beschreibungen für bestimmte Sachverhalte (z.B. Nutzerbezogene Registrierungseinträge) in der angegebenen Form leider nicht, oder nur dann funktionieren, wenn der Nutzer als Administrator angemeldet ist.

      War für mich ein Hinweis, dass so gut wie niemand aus der Administratoren-Gilde eine Trennung zwischen Administrator- und Standardkonten vornimmt und bei seiner täglichen Arbeit auch praktisch nutzt.

      Da ich persönlich seit Windows Vista so gut wie ausschließlich unter Standardbenutzerkonten arbeite, fallen mir solche Sachen halt extrem auf.

      • Cornelia sagt:

        Diese Ausssage kann ich voll und ganz bestätigen. Seit ich privat auf zwei Windows 10 Computern mit Standardbenutzerkonten arbeite, gab es für mich diverse Überraschungen, was alles nicht funktioniert und als Admin ausgeführt oder zumindest erstmals für den Benutzer freigeschaltet werden muss.
        So musste ich gleich zu beginn Probleme der Druckverwaltung mit erhöhter Berechtigung auf die installierten Drucker lösen.

        Allgemein sind diverse Einstellungen problematisch. Während in der Systemsteuerung (fast) alles, wozu Adminrechte benötigt werden, mit einem Schild-Symbol ersichtlich ist und über den jeweiligen Link auch so ausgeführt werden kann, ist das bei den Optionen in den Einstellungen nicht der Fall. Da kommt man für einige Änderungen nicht darum herum, sich als Admin anzumelden.

        Und noch etwas zu UAC:
        Ich bemängle schon seit Windows Vista, dass man gar nicht sieht, welche Änderung(en) eigentlich ausgeführt werden sollen. Wenn man eine aus dem Internet heruntergeladene Installationsdatei startet, ist ja meistens klar, dass zuerst eine UAC Meldung erscheint. Man gibt damit aber die "Pauschalgenehmigung", dass Einstellungensänderungen am System vorgenommen werden können. Wenn nun mit der Installationsdatei aber als erster Schritt gar nicht das gestartet wird, was man eigentlich installieren will, sondern etwas anderes (z.B. ein Download-Manager), erkennt man das nicht anhand der UAC. Nachdem die Installation gestartet ist, kann man nur hoffen, dass das unerwünschte Zusatztool nichts Schädliches auslöst und man es anschliessend wieder restlos entfernen kann.
        So ist die UAC absolut sinnlos, gerade für Privatanwender, welche zwangsläufig auch Administratoren-Aufgaben ausführen müssen.

  6. Sherlock sagt:

    Zeigt immer wieder nur auf, dass man Sicherheit nicht an ein Stück Software delegieren kann, das dümmer als der dümmste Hund ist. Schraubt man sich sowas aufs System, ist es danach unsicherer als vorher, und oft ist Malware nur WEGEN AV-Ware erfolgreich.
    Man hat einen Netto-Verlust an Sicherheit. Natürlich ist der Defender hier auf allen Systemen deaktiviert, in Win 10 wie auch in Win 11. Ihn ins Leere laufen zu lassen, wäre albern. Alle Systeme sind frei von Schlangenöl jeglicher Art.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.