Nel panorama delle minacce odierne, Defendnotrappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di attacchi tradizionali, non richiede privilegi elevati, non modifica in modo permanente le chiavi di registro e non solleva alert immediati da parte dei software di difesa tradizionali o soluzioni EDR (Endpoint Detection and Response).

L’efficacia di Defendnot risiede nella sua capacità di interfacciarsi con le API e i meccanismi di sicurezza nativi del sistema operativo Windows, in particolare:

• WMI (Windows Management Instrumentation)
• COM (Component Object Model)
• Windows Security Center (WSC)

2. Processi di esecuzione del Malware

2.1 Abuso del Windows Security Center (WSC)

Il comportamento principale del malware consiste nel simulare la presenza di un antivirus attivo tramite la registrazione fittizia nel WSC, inducendo Defender a disattivarsi automaticamente.

❝ Windows Defender si disattiva se rileva la presenza di un altro antivirus “compatibile” registrato correttamente nel sistema. ❞

Questa simulazione viene ottenuta sfruttando interfacce COM, come IWSCProduct e IWSCProductList, e avvalendosi di script PowerShell o codice compilato (es. C++).

2.2 Uso di WMI e COM senza Elevazione di Privilegi

Defendnot non modifica GPO, non scrive nel registro e non uccide processi. Opera in modo stealth grazie a:

• WMI Namespace: root\SecurityCenter2
• COM Object: WSC.SecurityCenter2

In molti contesti aziendali mal configurati, questi componenti possono essere invocati anche da utenti standard, rendendo il malware estremamente pericoloso in termini di lateral movement e persistence.

2.3 Iniezione e Persistenza

In alcuni casi, Defendnot può essere iniettato in processi fidati (es. taskmgr.exe) o configurato per l’esecuzione automatica tramite Task Scheduler o chiavi Run.

3. Esempi Tecnici Pratici

3.1 Simulazione WMI via PowerShell

Questo codice è legittimo ma può essere esteso per registrare falsi antivirus con stato “attivo e aggiornato”, forzando così la disattivazione di Defender.

3.2 Spoofing avanzato in C++ (uso COM diretto)

Questa simulazione è sufficiente a ingannare Defender e farlo disattivare come da policy Microsoft.

3.3 Analisi dello Stato di Defender tramite WMI (PowerShell)

Questo script permette di interrogare direttamente lo stato di Microsoft Defender, utile per verificare se è stato disattivato in modo anomalo.

Utile per eseguire un controllo incrociato: se Defender risulta disattivato e non vi è alcun AV noto attivo, è probabile la presenza di spoofing o bypass.

3.4 Registrazione Fittizia di AV via WMI Spoof (WMI MOF Injection – Teorico)

Una tecnica usata in scenari più avanzati può includere MOF Injection per creare provider fittizi direttamente in WMI (esempio concettuale):

Compilato con:

Compilato con:

mofcomp.exe fakeav.mof

Questa tecnica è estremamente stealth e sfrutta la capacità di WMI di accettare nuovi provider persistenti. Va monitorata con attenzione.

3.5 Monitoraggio WMI Eventi in Tempo Reale (PowerShell + WQL)

Script che intercetta modifiche sospette al namespace SecurityCenter2:

Questo è particolarmente utile in ambienti aziendali: può essere lasciato in esecuzione su server o endpoint sensibili per tracciare cambiamenti in tempo reale.

3.6 Logging Persistente di AV Fittizi tramite Task Scheduler (PowerShell)

Esempio per identificare eventuali task che iniettano strumenti di bypass all’avvio:

Una semplice scansione dei task può rivelare meccanismi di persistenza non evidenti, soprattutto se il payload è un fake AV o un loader offuscato.

3.7 Ispezione della Configurazione Defender tramite MpPreference

Permette di individuare modifiche anomale o disabilitazioni silenziose:

Se DisableRealtimeMonitoring è attivo, Defender è stato disattivato. Anche UILockdown può indicare manipolazioni da malware avanzati.

3.8 Enumerazione e Verifica dei Moduli Caricati nel Processo WSC (C++)

Controllare che non vi siano DLL anomale caricate nel processo del Security Center:

Gli strumenti come Defendnot possono essere iniettati nel processo SecurityHealthService.exe. Il controllo dei moduli può rivelare DLL anomale.

3.9 Identificazione di AV Fake tramite Analisi della Firma del File

Esempio in PowerShell per analizzare i binari AV registrati:

Gli AV fake spesso non sono firmati o hanno certificati self-signed. Questo controllo può essere integrato in audit automatizzati.

4. Script di Monitoraggio e Rilevamento

Per monitorare al meglio eventuali anomalie, si può usare un modulo centralizzato da eseguire sull’host Windows per avere una visione d’insieme su:

• Stato di Defender
• Prodotti AV registrati
• Anomalie nei nomi/firme
• Task sospetti legati a fake AV

Si consiglia di schedulare l’esecuzione di questa dashboard su base oraria tramite Task Scheduler, salvando l’output in file di log o inviandolo via e-mail. È anche possibile integrarlo con SIEM (Splunk, Sentinel, etc.) via forwarding del log ed è estendibile con funzionalità di auto-remediation, ad esempio disinstallazione o terminazione di AV sospetti.

4.1 PowerShell: Rilevamento Anomalie in WSC

Questo script decodifica lo stato binario dei provider AV registrati e lancia un allarme se rileva anomalie (es. nomi generici, binari non firmati o assenti).

5. Strategie di Mitigazione e Difesa

Per contenere e prevenire gli effetti di malware come Defendnot, si raccomanda di adottare un approccio multilivello:

5.1. Monitoraggio WSC Periodico

Automatizzare il controllo su base oraria/giornaliera e inviare alert su SIEM o email.

5.2. Abilitare Tamper Protection

Blocca modifiche non autorizzate alla configurazione di Defender, comprese modifiche via WMI o PowerShell.

5.3. Applicare Policy di Lock-down

Utilizzare Group Policy per disabilitare l’opzione “Disattiva Microsoft Defender”:

Computer Configuration > Admin Templates > Microsoft Defender Antivirus > Turn off Defender = Disabled

5.4. Controllo Accessi a WMI e COM

Strumenti EDR devono tracciare accessi sospetti a:

• root\SecurityCenter2
• COM object WSC.SecurityCenter2
• Script non firmati che accedono a questi componenti

5.5. Rilevamento Comportamentale con EDR

EDR avanzati devono essere configurati per:

• Rilevare registrazioni anomale di provider AV.
• Intercettare iniezioni in processi trusted.
• Rilevare uso anomalo delle API COM/WMI da script non firmati.

6. Conclusioni

L’analisi di Defendnot ci porta a riflettere su un aspetto sempre più attuale della cybersecurity: non servono necessariamente exploit sofisticati o malware rumorosi per compromettere un sistema. In questo caso, lo strumento agisce in silenzio, sfruttando le stesse regole e API che Windows mette a disposizione per la gestione dei software di sicurezza. E lo fa in modo così pulito da passare facilmente inosservato, anche agli occhi di molti EDR.

Quello che colpisce è la semplicità e l’eleganza dell’attacco: nessuna modifica al registro, nessun bisogno di privilegi elevati, nessuna firma malevola nel file. Solo una falsa comunicazione al Security Center, che crede di vedere un altro antivirus attivo – e quindi disattiva Defender come previsto dalla logica del sistema operativo.

È un promemoria importante: oggi non basta installare un antivirus per sentirsi protetti. Serve visibilità, monitoraggio continuo e una buona dose di diffidenza verso tutto ciò che sembra “normale”. Serve anche conoscere strumenti come Defendnot per capire come si muovono gli attaccanti moderni – spesso sfruttando ciò che il sistema permette, piuttosto che forzarlo.

In ottica difensiva, è fondamentale:

• Rafforzare le impostazioni di sicurezza, ad esempio attivando Tamper Protection.
• Monitorare regolarmente lo stato dei provider registrati nel Security Center.
• Utilizzare strumenti che vadano oltre la semplice firma o il comportamento, e che osservino come cambiano i contesti e le configurazioni del sistema.

In definitiva, Defendnot non è solo un malware: è un campanello d’allarme. Dimostra che le minacce più efficaci non sempre arrivano con il “classico” malware, ma spesso passano dalla zona grigia tra funzionalità lecite e uso malevolo. Ed è lì che dobbiamo concentrare le nostre difese.

L'articolo Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione proviene da il blog della sicurezza informatica.

Microsoft su ordine di Trump interrompe il servizo di posta elettronica di un cittadino britannico, impiegato di un organo internazionale con sede all'Aia, di cui gli USA non fanno parte. Prova provata che le fliali europee di compagnie USA sono una estensione diretta del potere imperiale americano. Aziende e istituzioni europee se ne devono svincolare, e al più presto.

spreaker.com/episode/dk-9x29-c…

In occasione di BUILD 2025, Microsoft ha annunciato l’aggiunta della crittografia post-quantistica (PQC) alle build di test di Windows Insider (a partire dalla versione 27852) e alla libreria SymCrypt-OpenSSL versione 1.9.0 e successive. L’obiettivo è consentire agli utenti di testare algoritmi resistenti ai computer quantistici nelle proprie infrastrutture prima che venga attivato il calcolo quantistico di massa.

Nello specifico, Microsoft ha aggiunto due algoritmi, ML-KEM (un meccanismo di incapsulamento basato su reticolo) e ML-DSA (un algoritmo di firma digitale), alle librerie Cryptography API: Next Generation (CNG), nonché alle funzioni di elaborazione dei certificati e dei messaggi crittografici. Questi algoritmi sono disponibili per i partecipanti al programma Windows Insider.

Il supporto è fornito anche agli utenti Linux tramite la libreria SymCrypt-OpenSSL (SCOSSL), che fornisce un’interfaccia OpenSSL agli algoritmi Microsoft. ML-KEM e ML-DSA che sono tra i primi algoritmi crittografici approvati dal National Institute of Standards and Technology (NIST) degli Stati Uniti come resistenti agli attacchi quantistici.

Microsoft sottolinea che l’implementazione tempestiva del PQC è volta ad attenuare i rischi associati allo schema “raccogli ora, decifra più tardi”. Questa tattica prevede l’intercettazione di dati crittografati con metodi classici e la loro successiva decrittografia in futuro tramite computer quantistici.

Questi algoritmi post-quantistici sono stati inclusi nella libreria SymCrypt nel dicembre 2024. Sono ora disponibili per l’uso su una gamma più ampia di sistemi e applicazioni, inclusi Windows e Linux, tramite l’interfaccia SCOSSL di OpenSSL.

L'articolo Microsoft prepara Windows agli attacchi quantistici. Il programma prende vita nelle build di test proviene da il blog della sicurezza informatica.

There was a period in the 1990s when it seemed like the personal data assistant (PDA) was going to be the device of the future. If you were lucky you could afford a Psion, a PalmPilot, or even the famous Apple Newton — but to trap the unwary there were a slew of far less capable machines competing for market share.

[Nick Bild] has one of these, branded Rolodex, and in a bid to make using a generative AI less alluring, he’s set it up as the interface to an LLM hosted on a Raspberry Pi 400. This hack is thus mostly a tale of reverse engineering the device’s serial protocol to free it from its Windows application.

Finding the baud rate was simple enough, but the encoding scheme was unexpectedly fiddly. Sadly the device doesn’t come with a terminal because these machines were very much single-purpose, but it does have a memo app that allows transfer of text files. This is the wildly inefficient medium through which the communication with the LLM happens, and it satisfies the requirement of making the process painful.

We see this type of PDA quite regularly in second hand shops, indeed you’ll find nearly identical devices from multiple manufacturers also sporting software such as dictionaries or a thesaurus. Back in the day they always seemed to be advertised in Sunday newspapers and aimed at older people. We’ve never got to the bottom of who the OEM was who manufactured them, or indeed cracked one apart to find the inevitable black epoxy blob processor. If we had to place a bet though, we’d guess there’s an 8051 core in there somewhere.

youtube.com/embed/GvXCZfoAy88?…

hackaday.com/2025/05/20/an-awf…

Here’s something fun. Our hacker [Willow Cunningham] has sent us a copy of his homework. This is his final project for the “ECE 574: Cluster Computing” course at the University of Maine, Orono.

It was enjoyable going through the process of having a good look at everything in this project. The project is a “cluster” of 5x Raspberry Pi Pico microcontrollers — with one head node as the leader and four compute nodes that work on tasks. The software for the both nodes is written in C. The head node is connected to a workstation via USB 1.1 allowing the system to be controlled with a Python script.

The cluster is configured to process an embarrassingly parallel image convolution. The input image is copied into the head node via USB which then divvies it up and distributes it to n compute nodes via I²C, one node at a time. Results are given for n = {1,2,4} compute nodes.

It turns out that the work of distributing the data dwarfs the compute by three orders of magnitude. The result is that the whole system gets slower the more nodes we add. But we’re not going to hold that against anyone. This was a fascinating investigation and we were impressed by [Willow]’s technical chops. This was a complicated project with diverse hardware and software challenges and he’s done a great job making it all work and in the best scientific tradition.

It was fun reading his journal in which he chronicled his progress and frustrations during the project. His final report in IEEE format was created using LaTeX and Overleaf, at only six pages it is an easy and interesting read.

For anyone interested in cluster tech be sure to check out the 256-core RISC-V megacluster and a RISC-V supercluster for very low cost.

hackaday.com/2025/05/20/pentap…

È una serie su Netflix che ho finito ieri sera, molto divertente e molto gay friendly.

Ve la consiglio.

#Netflix

maledette #graminacee! 🤧🤧😭ho consumato mille fazzoletti (cit.)

pollenundallergie.ch/informazi…
#allergia #nasochecola #occhicheprudono

Pollini e allergie - Graminacee

Grado d'allergia molto alto; le graminacee rappresentano il principale allergene del polline; quasi tutti le specie di graminacee provocano allergie.

^{www.pollenundallergie.ch}

Mesi fa mi sono cancellato da Facebook e sono venuto qui.

Non ho fatto la sospensione dell'account ma proprio la cancellazione. Il sistema mi aveva detto che per 30 giorni avrebbe mantenuto l'account, casomai avessi cambiato idea, e poi l'avrebbe cancellato.

Ormai sono passati mesi ma un mio amico mi ha mandato una screenshot in cui il mio account si vede ancora, come se non fosse mai stato cancellato.

Voi come lo spiegate? Può essere che quel mio amico stia vedendo il contenuto della cache del suo browser?