문서화되지 않은 WSC API 호출에 접근하여, Windows에게 다른 안티바이러스 소프트웨어가 켜져 있음을 알리는 방식으로 작동합니다.
경쟁사 백신(AV) 제품으로 대체하지 않고 Windows Defender를 비활성화하려는 사람들을 위해 새로운 도구가 등장했습니다. 개발자이자 리버스 엔지니어인 es3n1n이 최근 Defendnot이라는 새로운 도구를 공개했습니다. 이 소프트웨어는 문서화되지 않은 Windows Security Center (WSC) API를 이용해 운영 체제(OS)에 다른 백신 소프트웨어가 작동 중임을 알림으로써, Windows Defender가 자연스럽게 작동을 멈추도록 유도합니다.
es3n1n은 Defendnot 개발 과정에 대한 블로그 게시물에서, 이 신규 도구가 자신들이 1년 전에 만들었던 '노-디펜더(no-defender)' 도구의 후속작임을 설명했습니다. Defendnot의 초기 버전은 기존 AV 제품의 타사 코드를 재사용하여 Windows Defender를 비활성화시키는 방식을 사용했습니다. 예상대로, 해당 도구는 DCMA(Digital Millennium Copyright Act) 삭제 요청에 직면했습니다. Defendnot은 어떤 '기증(donor)' AV도 없이 이전 프로젝트의 "클린 구현(clean implementation)"을 목표로 시도되면서 시작되었습니다. WSC 자체가 (공개적으로) 문서화되어 있지 않았기에 이 과정은 결코 쉽지 않았습니다.
es3n1n은 이전 경험을 바탕으로 WSC가 정품 AV 제품이 보내는 API 호출을 어떻게 검증하는지를 정확하게 추론했습니다. 그들은 이 프로세스에 코드를 주입하는 데 성공했고, 즉각적으로 성공적인 결과를 얻었습니다. 블로그에는 "새로 등록한 백신(fresh-new antivirus I registered)"이라는 내용과 함께 임의로 'hi2'라는 이름이 붙어 있는 스크린샷이 담겨 있습니다. GitHub에서 가져온 하단 스크린샷에서는 'hello readme:)'라는 이름으로도 확인할 수 있습니다.
Denuvo, 최근 하이퍼바이저 기반 DRM 우회에 대한 대응책을 약속하다
상당한 시간(약 사흘)이 지난 후, es3n1n은 Defendnot 도구를 더욱 정교하게 만들었습니다. 기존에 서명되고 신뢰받는 Windows 작업 관리자 프로세스(Taskmgr.exe)에 가짜 AV DLL을 주입한 것입니다. 이를 통해 가짜 AV 도구를 어떤 이름으로든 등록할 수 있게 되었습니다. 재미있는 점은, Bleeping Computer의 리포터가 Defendnot을 사용하여 'BleepingComputer Antivirus'라는 가짜 AV를 만들어 활용했다는 점입니다.
Defendnot이 성공적으로 주입 및 등록되면 Microsoft Defender는 즉시 스스로 작동을 중단합니다. 사용자가 사용하는 Defendnot 앱 자체가 실제 AV 프로그램이 아니기 때문에, 실시간 스캐너가 활성화되지 않아 사용자는 바이러스 및 유사한 악성코드에 노출됩니다. 이 새로운 'AV' 기능과 WSC 관련 상태가 재부팅 후에도 유지되도록, Defendnot은 Windows 자동 실행 항목에 추가됩니다.
실제 AV 프로그램이 이렇게 스푸핑될 수 있다는 사실은 놀라우면서도, 이는 '연구 프로젝트'로서 악의적인 행위자들에게 악용될 수 있는 잠재적인 OS 취약점을 Microsoft 같은 OS 개발사들에게 경고하는 역할을 합니다. 만약 오늘 Defendnot 도구를 다운로드하려 한다면, Microsoft의 Defender는 이미 기계 학습 알고리즘을 기반으로 이를 트로이 목마(Trojan)로 감지하고 격리하는 것이 관찰되었습니다.
최신 뉴스, 분석 및 리뷰를 받아보시려면 Google News에서 Tom's Hardware를 팔로우하세요. '팔로우' 버튼을 클릭하는 것을 잊지 마세요.