Une chose que la plupart des logiciels malveillants doivent faire est de demander des instructions supplémentaires à leur serveur de commande et de contrôle (C2). En interceptant ce trafic avant que les informations puissent être échangées, Microsoft espère stopper net de nombreuses attaques.
La société a récemment ajouté une nouvelle fonctionnalité à sa plate-forme de sécurité Microsoft Defender for Endpoint (MDE) qui avertit les administrateurs lorsqu'une connexion malveillante est établie. Il est capable de supprimer cette connexion et d'enregistrer les détails pour une évaluation ultérieure.
Tel que rapporté par BleepingComputer, la nouvelle fonctionnalité est actuellement en préversion publique.
Détections précédentes
Avec la nouvelle fonctionnalité activée, l'agent Network Protection (NP) de Defender for Endpoint mappera toutes les adresses IP, ports, noms d'hôte et autres données sur la connexion sortante, avec les données du Microsoft Cloud. S'il détecte une connexion que les moteurs de notation basés sur l'IA de l'entreprise jugent malveillante, l'outil la bloquera et restaurera les fichiers binaires malveillants pour éviter d'autres dommages.
Il ajoutera ensuite un enregistrement indiquant « La protection du réseau a bloqué une éventuelle connexion C2 », qui pourra être évalué par les équipes SecOps.
« Les équipes SecOps ont besoin d'alertes précises capables d'identifier les zones compromises et les connexions précédentes à des adresses IP malveillantes connues », a déclaré Oludele Ogunrinde, responsable principal du programme MDE.
"Grâce aux nouvelles fonctionnalités de Microsoft Defender for Endpoint, les équipes SecOps peuvent détecter les attaques réseau C2 plus tôt dans la chaîne d'attaque, minimiser la propagation en bloquant rapidement la propagation d'attaques supplémentaires et réduire le temps nécessaire à l'atténuation. Éliminez les binaires facilement malveillants".
Pour profiter de la nouvelle fonctionnalité, les utilisateurs doivent avoir activé Microsoft Defender Antivirus avec une protection en temps réel et une protection cloud. De plus, ils nécessitent MDE en mode actif, une protection réseau en mode bloc et la version 1.1.17300.4 du moteur.
Une fois le déploiement de l'aperçu terminé, la nouvelle fonctionnalité sera disponible dans Windows 10 1709 et versions ultérieures, Windows Server 1803 et Windows Server 2019.
Via BleepingComputer (Ouvre dans un nouvel onglet)