Microsoft, Microsoft Defender'a Endpoint (MDE) kurumsal uç noktası güvenlik platformuna komut ve kontrol (C2) trafik algılama özellikleri ekledi.
Şu anda kamu önizlemesinde bulunan bu yeni MDE özelliği, güvenlik yöneticilerinin ağ katmanındaki saldırgan kontrollü sunucularla iletişim kurmaya çalışan kötü amaçlı yazılımları algılamasına izin verecektir.
C2 bağlantıları, Microsoft Cloud'dan gelen verilerle giden IP adresini, bağlantı noktası, ana bilgisayar adını ve diğer değerleri eşleştirerek Endpoint'in Ağ Koruması (NP) aracısı için defans oyuncusu tarafından algılanır.
Bağlantı, Microsoft'un bulutla çalışan AI ve puanlama motorları tarafından kötü niyetli olarak değerlendirilirse, MDE bağlantıyı otomatik olarak engelleyecek ve kötü amaçlı yazılım ikili dosyalarını önceki temiz bir duruma geri döndürür.
Kötü niyetli bağlantı tespit edildikten sonra, Microsoft 365 Defender portalına "ağ koruması potansiyel bir C2 bağlantısı bloke etti" uyarısı eklenecek ve SEPOPS ekip üyelerine şiddet seviyesi ve etkilenen varlıklar ve faaliyet süresi de dahil olmak üzere ayrıntıları sağlayacaktır.
Saldırı akışı ve tam zaman çizelgesi gibi daha fazla bilgi, aşağıdaki ekran görüntüsünde gösterildiği gibi C2 bağlantı uyarısını açtıktan sonra kullanılabilir.
MDE Kıdemli Program Müdürü Oludele Ogunrinde, "Secops ekiplerinin, uzlaşma alanlarını ve bilinen kötü niyetli IP'lerle önceki bağlantıları doğru bir şekilde tanımlayabilecek kesin uyarılara ihtiyacı var." Dedi.
"Endpoint için Microsoft Defender'daki yeni yeteneklerle SECOPS ekipleri, saldırı zincirinde daha önce ağ C2 saldırılarını tespit edebilir, daha fazla saldırı yayılmasını hızla engelleyerek yayılmayı en aza indirebilir ve kötü niyetli ikili ikili dosyaları kolayca kaldırarak azaltma süresini azaltabilir."
Önkoşullar, aktif gerçek zamanlı koruma ve bulut tarafından verilen koruma, aktif modda MDE, blok modunda ağ koruması ve motor sürümü 1.1.17300.4 veya daha sonra yüklenen Microsoft Defender antivirüsünü içerir.
Hem Tüketici (Windows 10 Sürüm 1709 veya Sonrası) hem de Sunucu (Windows Server 1803, Windows Server 2019 veya sonraki) platformlarıyla çalışır.
Yeni özellik, halka açık önizlemeye kaydolduğunuzda ağ korumasının (NP) etkinleştirildiği ortamlarda kademeli olarak ve otomatik olarak uygulanacaktır.
Geçen ay, Microsoft ayrıca kurcalama korumasının yakında fidye yazılımı saldırılarına karşı daha iyi savunma için Microsoft Defender'da varsayılan olarak açılacağını söyledi.
Bilgisayar korsanları, kobalt grev alternatifi olarak Sliver araç setini benimser
Endpoint için Microsoft Defender varsayılan olarak kurcalama korumasını açacaktır
Microsoft Defender, Google Chrome, Elektron Uygulamalarında Win32/Hive.zy'yi yanlış algılar
'Kimsuky' bilgisayar korsanları, kötü amaçlı yazılımlarının yalnızca geçerli hedeflere ulaşmasını nasıl sağlar?
Kaynak: Bleeping Computer