Российский пентестер Даниил Степанов: как модификация IronPE обходит Windows Defender 2026

В 2026 году Windows Defender превратился в полноценную систему EDR с поведенческим анализом и защитой на уровне ядра, но его статический анализ файлов на диске остаётся уязвимым. Российский специалист по информационной безопасности Даниил Степанов, работающий пентестером, продемонстрировал метод обхода этой ключевой линии обороны. В основе техники лежит модификация открытого PE-загрузчика IronPE, написанного на Rust.

Степанов и его коллеги добавили в IronPE функционал для загрузки вредоносной полезной нагрузки по протоколу HTTP и её выполнения прямо в оперативной памяти. Этот подход позволяет полностью избежать детектирования статическим анализатором Windows Defender, поскольку исполняемый код никогда не записывается на диск в виде цельного файла для проверки. Исследование подчёркивает, что подобные «файл-лесс» атаки, использующие легитимные инструменты вроде загрузчиков, остаются эффективным вектором даже против современных комплексных систем защиты.

Техника не только демонстрирует конкретную уязвимость в логике защиты, но и указывает на более широкий тренд: злоумышленники всё чаще атакуют слабые места в статическом анализе, в то время как EDR-системы фокусируются на поведенческих аномалиях. Подобные разработки создают давление на вендоров средств защиты, вынуждая их пересматривать баланс между статическим и динамическим анализом. Методика, описанная Степановым, служит наглядным примером того, как открытое ПО может быть реконфигурировано для обхода защитных механизмов, что представляет интерес как для обороняющихся специалистов, так и для злоумышленников.