jeu. Déc 8th, 2022

À l’avenir, Microsoft Defender pour Endpoint devrait être en mesure de détecter et de rendre les logiciels malveillants inoffensifs en fonction de sa connexion à un serveur C2.

Avec une nouvelle mise à jour de fonctionnalités, Microsoft souhaite que son Defender for Endpoint soit capable de détecter quand un malware communique avec un serveur C2. L’outil fournit alors des informations utiles sur l’attaque et rend le logiciel malveillant inoffensif. Mais l’utilisation de la nouvelle fonctionnalité est – comme prévu – soumise à conditions.

Microsoft Defender envoie des connexions C2 à l’au-delà

Defender for Endpoint (MDE) de Microsoft a reçu une mise à jour pour détecter le trafic Command and Control (C2). Cela permettra à la plate-forme de sécurité pour les terminaux d’entreprise de détecter à l’avenir les logiciels malveillants qui « téléphoné à la maison‘ comme dirait ET. Les logiciels malveillants communiquent souvent avec un serveur C2 au niveau du réseau afin d’y charger des modules supplémentaires et d’exécuter les commandes d’un attaquant.

À l’avenir, l’agent de protection réseau du MDE reconnaîtra ces connexions C2 en comparant les adresses IP, les numéros de port, les noms d’hôte et d’autres paramètres avec les données du cloud Microsoft. Les moteurs d’intelligence artificielle et de notation basés sur le cloud évaluent ensuite les paramètres de connexion transmis. Si une connexion s’avère malveillante, MDE la bloque automatiquement et ramène les fichiers binaires malveillants à un état antérieur pour les rendre inoffensifs.

Les équipes de sécurité obtiennent des informations utiles sur l’attaque

Par conséquent, un message apparaît dans le portail Microsoft 365 Defender alertant les membres de l’équipe de sécurité du blocage d’une connexion C2 potentielle. De plus amples informations, telles que la gravité, les systèmes concernés et la période d’activité y sont également disponibles.

Voir aussi  Conseils de lecture : Qui se cache derrière le masque d'Anonyme ?

« Pour détecter et nettoyer rapidement ces infections de botnets, les équipes SecOps ont besoin d’alertes précises qui peuvent identifier les zones vulnérables et les connexions précédentes aux adresses IP malveillantes connues.« , déclare le responsable principal du programme MDE, Oludele Ogunrinde, dans un article sur la nouvelle fonctionnalité de Microsoft Defender.

En plus de MDE, d’autres produits Microsoft sont également requis

Les conditions requises pour utiliser la nouvelle fonctionnalité incluent l’utilisation de Microsoft Defender Antivirus avec une protection en temps réel et une protection basée sur le cloud activées, MDE en mode actif, une protection réseau en mode bloc et le moteur associé à partir de la version 1.1.17300.4. Les appareils Windows de Windows 10 version 1709 ou Windows Server 1803 ou 2019 sont également requis.

On ne peut qu’espérer que Microsoft, compte tenu des nombreuses fonctionnalités nouvelles et super géniales de divers produits de la société, trouvera à un moment donné le temps de combler les lacunes qui en résultent.