DefendNot & TrustConnect: Wenn Angreifer Windows gegen sich selbst wenden

Allgemein

Windows-Sicherheit & Angriffstechniken

DefendNot & TrustConnect: Wenn Angreifer Windows gegen sich selbst wenden

März 2026  |  IT-Service Walter  |  Lesedauer: ca. 5 Minuten

Zwei Angriffstechniken sorgen aktuell in der IT-Sicherheitsszene für Aufsehen – nicht weil sie neue Schwachstellen ausnutzen, sondern weil sie genau das Gegenteil tun: Sie missbrauchen legitime Windows-Mechanismen und vertrauenswürdige digitale Signaturen, um Schutzfunktionen zu umgehen. Wer verstehen will, warum signierte Software und eingebaute Windows-Features kein ausreichender Vertrauensanker mehr sind, sollte DefendNot und TrustConnect kennen.

DefendNot: Windows bringt sich selbst zum Schweigen

DefendNot ist ein ursprünglich als Forschungsprojekt veröffentlichtes Tool, das eine fundamentale Schwäche im Windows Security Center (WSC) ausnutzt. Die Logik dahinter ist simpel: Windows deaktiviert Microsoft Defender automatisch, sobald ein anderes Antivirenprogramm registriert wird – um Konflikte zwischen zwei gleichzeitig laufenden Schutzlösungen zu vermeiden.

DefendNot nutzt genau dieses Verhalten aus. Es registriert eine gefälschte Antivirenlösung über die undokumentierte WSC-API – und zwingt damit Windows dazu, Defender eigenständig abzuschalten. Kein direkter Eingriff in Defender-Prozesse, keine verdächtigen Registry-Manipulationen, kein Alarm.

🔧 Technischer Ablauf

1. DefendNot injiziert eine gefälschte Antivirus-DLL in Taskmgr.exe – ein von Microsoft signierter, vertrauenswürdiger Systemprozess.

2. Aus diesem vertrauenswürdigen Kontext heraus registriert die DLL einen fiktiven Virenschutz beim Windows Security Center.

3. Windows aktiviert seinen eigenen Conflict-Resolution-Mechanismus und deaktiviert Defender – vollautomatisch, ohne Fehlermeldung.

4. Das System läuft scheinbar normal weiter – ohne aktiven Echtzeitschutz.

Was als Forschungsprojekt begann, wurde inzwischen in aktiven Angriffskampagnen eingesetzt. Sicherheitsforscher von Fortinet dokumentierten eine mehrstufige Malware-Kampagne, bei der DefendNot gezielt zur Deaktivierung von Defender eingesetzt wurde – bevor Ransomware, Banking-Trojaner und Überwachungstools nachgeladen wurden.

⚠️ Das Kernproblem

DefendNot erzeugt keine typischen Tamper-Protection-Alarme, weil es Defender nicht direkt angreift. Es überredet Windows, Defender auf eigenen Wunsch abzuschalten. EDR-Tools, die auf Prozess-Terminierung oder Registry-Manipulation achten, sehen keinen Angriff – weil keiner im klassischen Sinne stattfindet.

TrustConnect: Malware mit gültigem Zertifikat

Parallel zu DefendNot identifizierte Microsofts Defender-Expertenteam im Februar 2026 mehrere Phishing-Kampagnen, die eine andere Art von Vertrauen missbrauchen: digitale Codesign-Zertifikate.

Angreifer hatten ein Extended-Validation-Zertifikat auf den Namen „TrustConnect Software PTY LTD” erworben – ein vollständig legaler Vorgang. Mit diesem Zertifikat signierten sie Malware, die sich als Adobe Acrobat Reader, Microsoft Teams oder Zoom ausgab. Die gefälschten Installer sahen für Windows, für Antivirenlösungen und für den Nutzer identisch aus wie legitime Software-Updates.

🎭

Täuschend echte Oberfläche
Phishing-Seiten mit „Update verfügbar”-Dialogen für Teams, Zoom und Adobe – optisch nicht von echten Update-Seiten zu unterscheiden.

Gültige digitale Signatur
EV-Zertifikat auf TrustConnect ausgestellt – Windows zeigt „Vertrauenswürdiger Herausgeber”, kein Sicherheitswarndialog erscheint.

🔁

Persistenter Backdoor
Nach Installation wurde ScreenConnect, Tactical RMM oder MeshAgent als Windows-Dienst registriert – mit Autostart-Eintrag für dauerhaften Zugriff.

🌐

Legitime Cloud als Tarnung
Payloads wurden über GitHub und Dropbox ausgeliefert – Datenverkehr zu diesen Diensten gilt in vielen Firewalls als vertrauenswürdig.

Was beide Angriffe gemeinsam haben

DefendNot und TrustConnect verfolgen unterschiedliche Ansätze, aber dasselbe Ziel: das Vertrauen des Betriebssystems und seiner Schutzmechanismen gegen den Nutzer wenden. Beide Techniken hinterlassen bei klassischen signaturbasierten Erkennungssystemen kaum Spuren, weil sie keine bekannten Schadroutinen verwenden – sie missbrauchen legitime Funktionen.

Das ist der Kern eines Paradigmenwechsels in der Angreiferszene: Nicht mehr der Exploit steht im Vordergrund, sondern das Vertrauen selbst wird zur Waffe.

🔍 Erkennungshinweise für DefendNot

Im Windows Security Center (WSC) taucht plötzlich ein unbekanntes Antivirenprogramm auf. Microsoft Defender meldet sich als „deaktiviert durch eine andere Schutzlösung”. Sysmon Event-ID 8 (Remote Thread Creation) zeigt Injektion in Taskmgr.exe. Der Task Scheduler enthält neue, unbekannte Einträge für den Autostart einer DLL.
🔍 Erkennungshinweise für TrustConnect

Neue Windows-Dienste in C:\Program Files\ mit unbekannten Namen wie TrustConnectAgent.exe oder AdobeReader.exe (am falschen Pfad). Run-Key in der Registry unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Ausgehende Verbindungen zu trustconnectsoftware[.]com.

Verhaltensbasierte Erkennung: ISW Sysmon Analyzer Pro & ISW Windows Service Remote Monitor

Genau die beschriebenen Indikatoren – DLL-Injektionen in Systemprozesse, unbekannte neue Dienste, verdächtige Task-Scheduler-Einträge – sind das Terrain des ISW Sysmon Analyzer Pro. Er wertet Sysmon-Ereignisse strukturiert aus und macht solche Anomalien sichtbar, bevor der Schaden entsteht. Der ISW Windows Service Remote Monitor überwacht alle Windows-Dienste auf Remote-Systemen zentral und schlägt Alarm, wenn neue, unbekannte Dienste auftauchen – unabhängig davon, ob deren Binary gültig signiert ist.

Zu den ISW-Tools →

Empfehlungen für Administratoren

  • Windows Defender Tamper Protection aktivieren – erschwert direkte Deaktivierungsversuche
  • Windows Defender Application Control (WDAC) oder AppLocker einsetzen – verhindert die Ausführung nicht genehmigter Software, auch wenn sie gültig signiert ist
  • Sysmon mit Prozessinjektions-Regeln konfigurieren – Remote-Thread-Erstellung in Systemprozesse (Event-ID 8) loggen
  • Windows Security Center regelmäßig auf unbekannte registrierte Antivirenlösungen prüfen
  • Neue Windows-Dienste auf allen Systemen überwachen – auch gültig signierte Binaries an unerwarteten Pfaden sind verdächtig
  • Mitarbeiter sensibilisieren: Software-Updates immer nur über offizielle Quellen und firmeneigene Softwareverteilung – nie über externe Download-Links

Fazit

DefendNot und TrustConnect zeigen, dass die Annahme „digital signiert = vertrauenswürdig” und „Windows-Schutzmechanismus aktiv = sicher” in der Praxis nicht mehr trägt. Moderne Angriffe nutzen genau diese Vertrauensannahmen aus. Die Antwort darauf ist keine neue Technologie – es ist konsequente Verhaltensüberwachung, Least-Trust-Prinzip und die Erkenntnis, dass der nächste Angriff möglicherweise gar keine bekannte Schadsoftware enthält.

© IT-Service Walter  |  isw-adtools.de

Ein Kommentar

  1. Pingback: all family pharmacy ivermectin

Die Kommentare sind geschlossen.