Durch ein neues Funktionsupdate will Microsoft mit seinem Defender for Endpoint erkennen können, wann eine Malware mit einem C2-Server kommuniziert. Das Tool stellt daraufhin nützliche Informationen zum Angriff bereit und macht die bösartige Software unschädlich. Doch der Einsatz des neuen Features ist – wie zu erwarten – an Voraussetzungen geknüpft.
Diese C2-Verbindungen erkennt der Network Protection Agent des MDE in Zukunft durch einen Abgleich der IP-Adressen, Portnummern, Hostnamen und weiterer Parameter mit Daten aus der Cloud von Microsoft. Cloud-basierte KI- und Scoring-Engines bewerten anschließend die übermittelten Verbindungsparameter. Stellt sich eine Verbindung als bösartig heraus, so blockiert MDE diese automatisch und setzt die Malware-Binärdateien auf einen früheren Zustand zurück, um sie unschädlich zu machen.
“Um diese Botnet-Infektionen schnell zu erkennen und zu bereinigen, benötigen SecOps-Teams präzise Warnmeldungen, die die gefährdeten Bereiche und frühere Verbindungen zu bekannten bösartigen IPs genau definieren können“, teilt der MDE Senior Program Manager Oludele Ogunrinde in einem
Bleibt nur zu hoffen, dass Microsoft angesichts der vielen neuen und supertollen Features in diversen Produkten des Unternehmens irgendwann auch mal wieder die Zeit findet, um dadurch entstandene Lücken zu stopfen.
Tarnkappe.info
Microsoft Defender schickt C2-Verbindungen ins Jenseits
Microsofts Defender for Endpoint (MDE) hat ein Update für die Erkennung von Command-and-Control-Traffic (C2) erhalten. Damit kann die Sicherheitsplattform für Unternehmensendgeräte zukünftig Malware erkennen, die “nach Hause telefoniert“, wie E.T. sagen würde. Denn häufig kommuniziert Schadsoftware auf Netzwerkebene mit einem C2-Server, um von dort weitere Module nachzuladen und Befehle eines Angreifers auszuführen.Diese C2-Verbindungen erkennt der Network Protection Agent des MDE in Zukunft durch einen Abgleich der IP-Adressen, Portnummern, Hostnamen und weiterer Parameter mit Daten aus der Cloud von Microsoft. Cloud-basierte KI- und Scoring-Engines bewerten anschließend die übermittelten Verbindungsparameter. Stellt sich eine Verbindung als bösartig heraus, so blockiert MDE diese automatisch und setzt die Malware-Binärdateien auf einen früheren Zustand zurück, um sie unschädlich zu machen.
Sicherheitsteams erhalten nützliche Informationen zum Angriff
Im Microsoft 365 Defender-Portal erscheint infolgedessen eine Meldung, die die Mitglieder des Sicherheitsteams auf die Blockierung einer potenziellen C2-Verbindung hinweist. Weitere Informationen, beispielsweise zum Schweregrad, den betroffenen Systemen und der Aktivitätszeitspanne sind dort ebenfalls abrufbar.“Um diese Botnet-Infektionen schnell zu erkennen und zu bereinigen, benötigen SecOps-Teams präzise Warnmeldungen, die die gefährdeten Bereiche und frühere Verbindungen zu bekannten bösartigen IPs genau definieren können“, teilt der MDE Senior Program Manager Oludele Ogunrinde in einem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zu der neuen Funktionalität des Microsoft Defenders mit.Neben MDE sind noch weitere Microsoft-Produkte erforderlich
Zu den Voraussetzungen, um das neue Feature nutzen zu können, gehört der Einsatz von Microsoft Defender Antivirus mit aktiviertem Echtzeitschutz und cloudbasiertem Schutz, MDE im aktiven Modus, Network Protection im Blockmodus sowie die zugehörige Engine ab Version 1.1.17300.4 aufwärts. Windows-Geräte ab Windows 10 Version 1709 beziehungsweise Windows Server 1803 oder 2019 sind ebenfalls erforderlich.Bleibt nur zu hoffen, dass Microsoft angesichts der vielen neuen und supertollen Features in diversen Produkten des Unternehmens irgendwann auch mal wieder die Zeit findet, um dadurch entstandene Lücken zu stopfen.
Tarnkappe.info
