روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  امروزه بسیاری از شرکت‌ها سیاست[1]BYOD را اجرا می‌کنند و به کارکنان اجازه می‌دهند از دستگاه‌های شخصی خود برای کار استفاده کنند. این روش به‌ویژه در سازمان‌هایی که دورکاری را پذیرفته‌اند رایج است.  BYOD مزایای زیادی دارد، اما اجرای آن ریسک‌های جدیدی در حوزه امنیت سایبری ایجاد می‌کند. برای محافظت از سیستم‌ها، بخش‌های امنیت اطلاعات معمولاً نصب نرم‌افزار امنیتی روی همه دستگاه‌های کاری را الزامی می‌کنند. در عین حال، برخی کارکنان – به‌ویژه متخصصین بخش فناوری – ممکن است آنتی‌ویروس را بیشتر مزاحم بدانند تا مفید.

این نگرش چندان منطقی نیست، اما متقاعد کردن آن‌ها دشوار است. مشکل اصلی این است که کارکنانی که فکر می‌کنند بهتر می‌دانند، ممکن است راهی برای فریب سیستم پیدا کنند. در این مقاله به بررسی روشی می‌پردازیم که توسط ابزار تحقیقاتی جدیدی به نام Defendnot انجام می‌شود؛ ابزاری که با ثبت یک آنتی‌ویروس جعلی، Microsoft Defender را روی دستگاه‌های ویندوز غیرفعال می‌کند.

چگونه no-defender راه را با آنتی‌ویروس جعلی برای غیرفعال‌کردن Microsoft Defender هموار کرد؟
برای فهم دقیق روش غیرفعال‌کردن Microsoft Defender توسط Defendnot، باید به یک سال پیش بازگردیم. آن زمان، پژوهشگری با نام کاربری es3n1n نسخه اول این ابزار را در گیت‌هاب منتشر کرد. این ابزار که no-defender نام داشت، برای غیرفعال‌کردن آنتی‌ویروس داخلی ویندوز  -همان ویندوز دیفندر-طراحی شده بود.

es3n1n  برای انجام این کار از ضعفی در API مرکز امنیت ویندوزسوءاستفاده کرد. از طریق این API، نرم‌افزارهای آنتی‌ویروس به سیستم اعلام می‌کنند که نصب شده و آماده محافظت بلادرنگ از دستگاه هستند. پس از دریافت این پیام، ویندوز به‌طور خودکارمایکروسافت دیفندررا غیرفعال می‌کند تا از تداخل بین چند راهکار امنیتی روی یک دستگاه جلوگیری کند.

با استفاده از کد یک راهکار امنیتی موجود، پژوهشگر آنتی‌ویروس جعلی خود را ساخت که در سیستم ثبت شده و تمام بررسی‌های ویندوز را گذراند. وقتیمایکروسافت دیفندرغیرفعال شد، دستگاه بدون هیچ محافظتی باقی ماند چون no-defender خود هیچ حفاظتی ارائه نمی‌داد. پروژه no-defender به سرعت در گیت‌هاب محبوب شد و بیش از دو هزار ستاره گرفت، اما شرکت توسعه‌دهنده آنتی‌ویروسی که کد آن استفاده شده بود، شکایتی تحت قانون حق نشر دیجیتال (DMCA) مطرح کرد. در نتیجه، es3n1n  مجبور شد کد پروژه را از گیت‌هاب حذف کند و تنها صفحه توضیحات باقی ماند.

چگونه Defendnot جایگزین no-defender شد؟
اما داستان به اینجا ختم نمی‌شود. تقریباً یک سال بعد، برنامه‌نویسی از نیوزیلند به نام MrBruh، es3n1n  را به توسعه نسخه‌ای از no-defender که به کدهای طرف‌سوم وابسته نباشد ترغیب کرد. با انگیزه چالش و بی‌خوابی، es3n1n  در عرض چهار روز ابزار جدیدی نوشت که Defendnot نام گرفت. هسته‌ی Defendnot یک DLL جعلی است که خود را به عنوان آنتی‌ویروس واقعی جا می‌زند. برای عبور از تمام بررسی‌های API مرکز امنیت ویندوزاز جملهPPL ، امضاهای دیجیتال و مکانیزم‌های دیگر  Defendnot DLL خود را به Taskmgr.exe  تزریق می‌کند، فرآیندی که توسط مایکروسافت امضا شده و مورد اعتماد است. سپس این ابزار آنتی‌ویروس جعلی را ثبت می‌کند و باعث می‌شود Microsoft Defender فوراً غیرفعال شده و دستگاه بدون محافظت باقی بماند.

علاوه بر این، Defendnot  به کاربر اجازه می‌دهد هر نامی برای «آنتی‌ویروس» انتخاب کند. مانند نسخه قبلی، این پروژه نیز در گیت‌هاب محبوب شد و تا زمان نگارش این متن بیش از ۲۱۰۰ ستاره دریافت کرد. برای نصب Defendnot، کاربر باید دسترسی مدیر(ادمین)داشته باشد که اکثر کارکنان روی دستگاه‌های شخصی خود این دسترسی را دارند.

چگونه از زیرساخت سازمانی در برابر سوءاستفاده از BYOD محافظت کنیم؟
ابزارهای Defendnot و no-defender پروژه‌های تحقیقاتی هستند که نشان می‌دهند چگونه می‌توان مکانیزم‌های مورد اعتماد سیستم را دستکاری کرد تا عملکردهای حفاظتی غیرفعال شود. نتیجه واضح است: نمی‌توان همیشه به آنچه ویندوز می‌گوید اعتماد کرد.

بنابراین، برای جلوگیری از به خطر افتادن زیرساخت دیجیتال شرکت، توصیه می‌کنیم سیاست BYOD خود را با اقدامات امنیتی زیر تقویت کنید:

• در صورت امکان، نصب نرم‌افزار محافظت شرکتی قابل اطمینان که توسط تیم امنیت اطلاعات شرکت مدیریت می‌شود را برای دارندگان دستگاه‌های BYOD الزامی کنید.
• اگر این امکان وجود ندارد، صرف نصب آنتی‌ویروس روی دستگاه‌های BYOD به معنای اعتماد به آنها نباشد و دسترسی‌شان به سیستم‌های سازمانی محدود شود.
• دسترسی‌ها را به دقت کنترل کنید تا مطابق با مسئولیت‌های شغلی کارکنان باشد.
• به فعالیت دستگاه‌های BYOD در سیستم‌های سازمانی توجه ویژه داشته باشید و از راهکار XDR برای شناسایی رفتارهای مشکوک استفاده کنید.
• کارکنان را با اصول پایه امنیت سایبری آموزش دهید تا درک کنند نرم‌افزار آنتی‌ویروس چگونه کار می‌کند و چرا نباید آن را غیرفعال کنند. برای این منظور، پلت‌فرم آموزش خودکار امنیت کسپرسکی می‌تواند تمام نیازهای شما را پوشش دهد.

[1]Bring Your Own Device

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.