Une chose que la plupart des logiciels malveillants doivent faire est de demander des instructions supplémentaires à leur serveur de commande et de contrôle (C2). En interceptant ce trafic avant que toute information ne puisse être échangée, Microsoft espère stopper de nombreuses attaques dans leur élan.
La société a récemment ajouté une nouvelle fonctionnalité à sa plate-forme de sécurité Microsoft Defender for Endpoint (MDE) qui avertit les administrateurs lorsqu’une connexion malveillante est établie. Il est capable de tuer cette connexion et d’enregistrer les détails pour une évaluation plus approfondie.
Tel que rapporté par Ordinateur qui sonne, la nouvelle fonctionnalité est actuellement en préversion publique.
Détections antérieures
Avec la nouvelle fonctionnalité activée, l’agent de protection réseau (NP) de Defender for Endpoint mappera toutes les adresses IP, ports, noms d’hôtes et autres données de la connexion sortante, avec les données de Microsoft Cloud. S’il repère une connexion que les moteurs de notation basés sur l’IA de l’entreprise jugent malveillante, l’outil la bloquera et restaurera les fichiers binaires malveillants pour éviter d’autres dommages.
Il ajoutera ensuite un journal, indiquant « Network Protection a bloqué une connexion C2 potentielle », que les équipes SecOps pourront ensuite évaluer.
« Les équipes SecOps ont besoin d’alertes précises qui peuvent définir avec précision les zones de compromis et les connexions précédentes à des adresses IP malveillantes connues », a déclaré Oludele Ogunrinde, responsable principal du programme pour MDE.
« Grâce aux nouvelles fonctionnalités de Microsoft Defender pour Endpoint, les équipes SecOps peuvent détecter les attaques réseau C2 plus tôt dans la chaîne d’attaque, minimiser la propagation en bloquant rapidement toute nouvelle propagation d’attaque et réduire le temps nécessaire à l’atténuation en supprimant facilement les fichiers binaires malveillants. »
Pour profiter de la nouvelle fonctionnalité, les utilisateurs doivent avoir activé Microsoft Defender Antivirus avec protection en temps réel et protection fournie par le cloud. De plus, ils ont besoin de MDE en mode actif, d’une protection réseau en mode bloc et de la version 1.1.17300.4 du moteur.
Une fois le déploiement de l’aperçu terminé, la nouvelle fonctionnalité sera disponible sur Windows 10 1709 et versions ultérieures, Windows Server 1803 et Windows Server 2019.
Via BleepingComputer (s’ouvre dans un nouvel onglet)