Una cosa che la maggior parte dei malware deve fare è richiedere istruzioni aggiuntive dal suo server di comando e controllo (C2). Intercettando questo traffico prima che le informazioni possano essere scambiate, Microsoft spera di fermare molti attacchi sul loro cammino.
La società ha recentemente aggiunto una nuova funzionalità alla sua piattaforma di sicurezza Microsoft Defender for Endpoint (MDE) che notifica agli amministratori quando viene stabilita una connessione dannosa. È in grado di rimuovere questa connessione e salvare i dettagli per una valutazione successiva.
Come riportato da BleepingComputer, la nuova funzionalità è attualmente in anteprima pubblica.
Rilevamenti precedenti
Con la nuova funzionalità abilitata, l'agente Network Protection (NP) di Defender for Endpoint mapperà tutti gli indirizzi IP, le porte, i nomi host e altri dati sulla connessione in uscita, con i dati di Microsoft Cloud. Se rileva una connessione che i motori di punteggio basati sull'intelligenza artificiale dell'azienda ritengono dannosa, lo strumento la bloccherà e ripristinerà i file binari dannosi per prevenire ulteriori danni.
Aggiungerà quindi un record che dice "La protezione della rete ha bloccato una possibile connessione C2", che può essere valutata dai team SecOps.
"I team SecOps hanno bisogno di avvisi accurati in grado di identificare le aree compromesse e gli accessi precedenti a indirizzi IP dannosi noti", ha affermato Oludele Ogunrinde, senior program manager di MDE.
"Con le nuove funzionalità di Microsoft Defender per endpoint, i team SecOps possono rilevare gli attacchi di rete C2 in una fase iniziale della catena di attacco, ridurre al minimo la diffusione bloccando rapidamente la diffusione di ulteriori attacchi e ridurre il tempo necessario per la mitigazione. Elimina i file binari facilmente dannosi".
Per sfruttare la nuova funzionalità, gli utenti devono aver attivato Microsoft Defender Antivirus con protezione in tempo reale e protezione cloud. Inoltre, richiedono MDE in modalità attiva, protezione della rete in modalità blocco e versione del motore 1.1.17300.4.
Al termine dell'implementazione dell'anteprima, la nuova funzionalità sarà disponibile in Windows 10 1709 e versioni successive, Windows Server 1803 e Windows Server 2019.
Tramite BleepingComputer (si apre in una nuova scheda)