Windows Defender abschalten

Die Windows Defender Antivirus-Features wurden in der Vergangenheit ständig verbessert. Der mittels Metasploit-Framework (Msfvenom) erstellte Payload, wird in der Regel zuverlässig erkannt. Für Penetrationstester und Red Teams wird es zunehmend schwerer, den in der Cloud bereitgestellten Schutz einschließlich der verhaltensbasierenden/heuristischen Erkennung zu umgehen.

Für Administratoren existieren eine Reihe von Möglichkeiten, um Windows Defender zu administrieren und die Software den eigenen Anforderungen anzupassen.

Angreifer versuchen zunehmend ihre vorhanden Payloads so abzuändern, dass sie einer Prüfung wiederstehen können. Hier wenden sie neue Methoden für die Verschlüsselung des Codes bzw. des Datenverkehres aber auch der absichtlichen Veränderung von Programmcode (Obfuskation) an.

In diesem Beitrag beschreibe ich, wie Sie mit Hilfe des USB-Rubber-Ducky und Digispark den Windows Defender in Windows 10 abschalten können. Voraussetzung ist, dass der Angreifer/ Penetrationstester lokal Zugang zum Opfer-PC hat und der verwendete Nutzer administrative Rechte auf dem lokalen System besitzt. Dieser Angriff sollte somit in zentral administrierten Netzwerken nicht zum Erfolg führen, da hier der reguläre Nutzer seine Rechten nicht so einfach mit Hilfe der Benutzerkontensteuerung (UAC) eskalieren kann.

In der Literatur und im Internet lassen sich mehrere Möglichkeiten finden, um den Windows Defender abzuschalten. Für dieses Beispiel habe ich die Möglichkeit mittels PowerShell gewählt.

Zur Konfiguration der Windows-Defender Scans und Updates existieren eine Reihe von Parametern, die im Windows IT Pro Center eingesehen werden können. Die hier aufgeführten Optionen sind selbsterklärend.

Das Ducky-Script

Der Befehl in Zeile 10 ruft ein Fenster zur Befehlseingabe auf, das in Zeile 13 die Benutzerkontensteuerung mit Hilfe von Powershell aufruft. In den Zeilen 16 bis 19 wird der Dialog auf „Ja“ gesetzt. Zeile 24 ruft im Ducky-Script folgende Parameter des Moduls Set-MpPreference auf:

  • -DisableRealtimeMonitoring $true
  • -SubmitSamplesConsent NeverSend
  • -DisableIOAVProtection $true
  • -DisableIntrusionPreventionSystem $true
  • -DisableBlockAtFirstSeen $true
  • -DisableBehaviorMonitoring $true
  • -MAPSReporting 0

Der Windows Defender wird nach einem Neustart des PC automatisch wieder eingeschaltet. Um dies zu verhindern, tragen wir in Zeile 29 einen entsprechenden Wert in die Windows Registry ein:

Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows Defender' DisableAntiSpyware 1

Nach einem Neustart des PC hat der angemeldete Nutzer nun keine Möglichkeit mehr die Einstellungen zum Virenschutz zu ändern. Der folgende Befehl macht diesen Vorgang wieder rückgängig.

Set-ItemProperty 'HKLM:SOFTWAREPoliciesMicrosoftWindows Defender' DisableAntiSpyware 0

 

Ducky-Skript muss nun noch für den Einsatz kodiert werden. Ich nutze in diesem Fall das Online-Tool “Duck Toolkit”

 

Das Skript für den Digispark

Für den Digispark benutze ich die selben Befehle zum Abschalten des Windows Defenders. Die Syntax sieht natürlich etwas anders aus, da hier die Arduino Entwicklungsumgebung eingesetzt wird. Weitere Hinweise zur Einrichtung und Nutzung von Arduino finden Sie u.a. hier.

 

In unserem Buch Hacking & Security, das im Rheinwerk Verlag erschienen ist, gehe ich im Kapitel 8 auf weitere Anwendungsmöglichkeiten des USB-Rubber-Ducky, Digispark und Bash Bunny ein.

 

Schreibe einen Kommentar