Çoğu kötü amaçlı yazılımın yapması gereken bir şey, komuta ve kontrol (C2) sunucusuna yönelik daha fazla talimat almaktır. Microsoft, herhangi bir bilgi alışverişi yapılmadan önce bu trafiği yakalayarak birçok saldırıyı durdurmayı umuyor.
Şirket kısa süre önce Microsoft Defender for Endpoint (MDE) güvenlik platformuna, kötü niyetli bir bağlantı kurulduğunda yöneticileri bilgilendiren yeni bir özellik ekledi. Bu bağlantıyı kesebilir ve daha fazla değerlendirme için ayrıntıları günlüğe kaydedebilir.
tarafından bildirildiği gibi BleeBilgisayar, yeni özellik şu anda genel önizleme aşamasındadır.
Daha önceki tespitler
Yeni özellik etkinleştirildiğinde, Defender for Endpoint’in Ağ Koruması (NP) aracısı, giden bağlantının tüm IP adreslerini, bağlantı noktalarını, ana bilgisayar adlarını ve diğer verileri Microsoft Cloud’dan gelen verilerle eşler. Şirketin AI destekli puanlama motorlarının kötü niyetli olduğunu düşündüğü bir bağlantı tespit ederse, araç onu engeller ve daha fazla hasarı önlemek için kötü amaçlı yazılım ikili dosyalarını geri alır.
Ardından, SecOps ekiplerinin daha sonra değerlendirebileceği “Ağ Koruması olası bir C2 bağlantısını engelledi” yazan bir günlük ekleyecektir.
MDE Kıdemli Program Yöneticisi Oludele Ogunrinde, “SecOps ekiplerinin, tehlike altındaki alanları ve bilinen kötü niyetli IP’lere önceki bağlantıları doğru bir şekilde tanımlayabilen kesin uyarılara ihtiyacı var” dedi.
“Microsoft Defender for Endpoint’teki yeni yeteneklerle SecOps ekipleri, ağ C2 saldırılarını saldırı zincirinde daha erken tespit edebilir, daha fazla saldırı yayılmasını hızla engelleyerek yayılmayı en aza indirebilir ve kötü amaçlı ikili dosyaları kolayca kaldırarak hafifletmek için gereken süreyi azaltabilir.”
Yeni özellikten yararlanmak için kullanıcıların, gerçek zamanlı koruma ve bulut tarafından sağlanan korumaya sahip Microsoft Defender Antivirus’ün etkinleştirilmiş olması gerekir. Ayrıca, aktif modda MDE’ye, blok modunda ağ korumasına ve motor sürümü 1.1.17300.4’e ihtiyaçları vardır.
Önizleme sunumu tamamlandıktan sonra, yeni özellik Windows 10 1709 ve daha yenisi, Windows Server 1803 ve Windows Server 2019’da kullanılabilecektir.
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)