Antes de entrar a leer este post, quiero hacer un disclaimer. En este artículo voy a hablar de la aventura que fue desactivar el antivirus/EDR del PC corporativo de un amigo. Con esto no quiero que se entienda que todos los usuarios deban llevar a cabo este tipo de practicas, nada más lejos de la realidad. Únicamente comparto este conocimiento con fines didácticos. En los ejemplos utilizaré otro servicio para evitar identificar el Antivirus/EDR con el que trabajamos.
El otro día me llamó un antiguo compañero y amigo que trabaja para una importante empresa del IBEX 35. Dado el trabajo que hace y sus conocimientos en ciberseguridad siempre ha tenido permisos de administrador en su PC para poder instalar y probar distintas herramientas en el mismo sin tener que estar cada 5 minutos llamando al CAU.
Con esos permisos y su habilidad con la consola de Windows siempre ha podido “apagar” el Antivirus/EDR cuando su trabajo así lo requería (aquí recalco que mi amigo lleva a cabo trabajos relacionados con ciber que pueden chocar con el funcionamiento normal de un Antivirus) . Pero el otro día cuando me llamó mi amigo acababa de descubrir que el nuevo antivirus/EDR que tiene su compañía ha añadido una funcionalidad que le bloquea la posibilidad de abrir una consola con permisos de administrador. Esto no sería un problema si el antivirus no estuviera bloqueando el uso de un software que suele utilizar cada pocos meses.
Round 1
A mi amigo lo primero que se le ocurrió fue parar el servicio del antivirus dados sus permisos de administrador, pero tampoco se podía modificar el modo de arranque o parar el servicio. El propio antivirus nos lo impedía, bloqueando cualquiera de estos cambios en services.msc. Así que optamos por la primera solución quick and dirty que se nos ocurrió. Arrancamos con un pendrive el sistema con una versión Linux y renombramos la carpeta del antivirus. Así cuando arranque el PC, el antivirus no estará en las rutas esperadas y vía libre……. o eso pensábamos inicialmente ya que pudimos comprobar que esta primera idea no era una buena idea. Al arrancar de nuevo en Windows, cada programa que arrancaba, moría irremediablemente. Esto se producía porque todavía el EDR y Windows querían analizar cualquier programa que arrancaba en el sistema. Pero es que además cada 15 segundos moría y volvía a lanzarse explorer.exe. El proceso responsable del escritorio y las ventanas que utilizamos en la GUI de Microsoft Windows. Lo que hacía que la experiencia de usuario dejara mucho que desear.
Round 2
Así que optamos por otra vía. Mi amigo se acordó que normalmente dejaba los servicios del antivirus en forma de arranque manual o desactivado ¿Como podemos modificar los valores del registro de Windows para que los servicios del antivirus no estuvieran activos al arrancar el sistema? Dado que desde la interfaz normal de gestión de los servicios no podíamos cambiar dicho valor, ya que nos bloqueaba el antivirus, probamos a ver si desde el editor del registro podríamos lograrlo. Desde el administrador de servicios localizamos el servicio que queremos modificar.
Haciendo doble click sobre el servicio, en el campo Service name obtenemos el nombre del servicio que tendremos que buscar luego en el registro de Windows.
En el registro de Windows, dentro de la clave HKLM\SYSTEM\ControlSet001\Services, se encuentran listados los servicios que hay en la maquina. Si buscamos por el nombre de servicio que obtuvimos anteriormente llegamos a las claves que almacenan la configuración de dicho servicio. La clave que se debe modificar para cambiar el modo en el que arranca el servicio es Start.
Para saber que valor debemos poner en la clave start del registro de Windows, buscamos en el “Oráculo de Internet”. El valor que debemos poner para que arranque en modo manual es 0x03.
Pero al intentar hacer este cambio en el registro, el antivirus volvió a defenderse impidiéndonos cambiar esta clave desde el editor del registro de Windows.
Round 3
Como pensamos que el camino que habíamos comenzado era el correcto nos planteamos cambiar el valor de esta clave, pero esta vez arrancando nuevamente el PC desde el pendrive. Para llevar a cabo esta parte nos ayudó mucho este artículo.
Una vez de vuelta en Linux, montamos el disco Windows y en Windows\System32\config podemos encontrar algunos de los ficheros que almacenan la información del registro de Windows. En nuestro caso necesitamos editar el fichero SYSTEM
Para editar los valores de las claves del registro, no se puede hacer directamente con un editor de textos. Utilizaremos una herramienta llamada chntpw. Antes de modificar el fichero SYSTEM, hicimos una copia de seguridad del mismo, por si acaso terminábamos de romper el sistema. Mediante la opción -e nos abre una consola en la que poder navegar por las distintas claves y subclases.
Con el comando ? muestra la ayuda, con todas las opciones que da chntpw
Con el comando ls podemos listar los valores de claves y subclaves del registro.
Con el comando cd, podemos ir profundizando por las claves, hasta llegar a la clave del servicio que queremos modificar.
Una vez estamos en SYSTEM\ControlSet001\Services\CrypSvc, con ls podemos ver las mismas claves que se veían con el editor del registro de Windows.
Con el comando ed <key> te muestra el valor actual y el programa te pide que introduzcas el nuevo valor. Para poner el servicio en modo de arranque manual el valor es 3. Si volvemos a hacer un ls, podemos comprobar como el valor de la clave Start ha cambiado a 3.
Para salir indicamos el comando q. En ese momento la aplicación pregunta si quieres guardar los cambios realizados. Ya sólo nos falta reiniciar la máquina y cruzar los dedos para que finalmente funcione. Por fortuna es lo que pasó y mi amigo pudo utilizar el software que quería sin que el Antivirus le bloqueara, con Windows funcionando correctamente y pudo volver a tener la consola de administración que tanto le gusta, aunque una vez terminada la tarea, volvió a establecer la copia que hicimos del fichero SYSTEM.
Recuerda que todos los lunes de 19:00 a 20:00 puedes escucharme junto a Mónica Valle y Eduardo Castillo en CiberAfterWork. Suscribirte a nuestros podcasts y escúchanos cuando quieras.
Gracias por leer esta entrada y nos vemos en la red.