Τεχνικές παράκαμψης Windows Defender

Abstract

Ένας από τους βασικούς στόχους όλων των εγκληματιών στον κυβερνοχώρο είναι να δημιουργήσουν κακόβουλα προγράμματα που μπορούν να αποφύγουν τους μηχανισμούς ασφαλείας των Windows συστημάτων. Το πιο βασικό εργαλείο που χρησιμοποιούν τα συστήματα αυτά για να το αποτρέψουν είναι το Windows Defender. Πρόκειται για ένα σύστημα ασφαλείας που βρίσκεται προεγκαταστημένο στους υπολογιστές και δεν απαιτεί καμία χρέωση. Προσφέρει προστασία σε πραγματικό χρόνο κάνοντας συνεχώς σαρώσεις για κάθε νέο πρόγραμμα που εισέρχεται στο μηχάνημα αλλά και έναν μηχανισμό firewall που μπορεί να επιτρέψει στον χρήστη να καθορίσει πλήρως ποιες κινήσεις επιτρέπονται να εισέρθουν και να εξέρθουν από το δίκτυο του. Παρόλο που τα τελευταία χρόνια έχει παρατηρηθεί σαφής βελτίωση του η παράκαμψη του είναι κάτι που μπορεί να γίνει πολύ εύκολα. Η κρυπτογραφία, η αποφυγή του sandboxing, η στεγανογραφία και οι εγχύσεις DLL και κακόβουλου κώδικα σε διεργασίες είναι μερικές από τις τεχνικές που χρησιμοποιούνται με σκοπό κάποια προγράμματα να περάσουν απαρατήρητα από το Windows Defender. Για την υλοποίηση αυτών των τεχνικών υπάρχει μια πληθώρα εργαλείων ανοικτού κώδικα που ο καθένας μπορεί πολύ εύκολα να επιλέξει και κάποια από αυτά σε συνδυασμό με αυτοσχέδια κομμάτια κώδικα θα χρησιμοποιηθούν και στην παρούσα εργασία με σκοπό να ελεγχθεί η αποτελεσματικότητα του Defender. Χρησιμοποιώντας εργαλεία όπως το Anubis, το Mythic, το Africana-framework και το hoaxshell θα δοκιμαστούν ένα ransomware, ένας keylogger αλλά και προγράμματα που έχουν ως στόχο την αρχική πρόσβαση στο αντίπαλο μηχάνημα. Καταλήγοντας, θα παρατηρήσουμε ότι πολλές από τις προσπάθειες που θα δοκιμαστούν θα στεφθούν με επιτυχία παρακάμπτοντας το Windows Defender.