Η Microsoft έχει προσθέσει δυνατότητες ανίχνευσης κυκλοφορίας εντολών και ελέγχου (C2) στην εταιρική πλατφόρμα ασφάλειας τελικού σημείου Microsoft Defender for Endpoint (MDE).
Διαθέσιμο σε δημόσια προεπισκόπηση αυτή τη στιγμή, αυτή η νέα δυνατότητα MDE θα επιτρέψει στους διαχειριστές ασφαλείας να εντοπίζουν κακόβουλο λογισμικό που προσπαθεί να επικοινωνήσει με διακομιστές που ελέγχονται από εισβολείς στο επίπεδο δικτύου.
Οι συνδέσεις C2 εντοπίζονται από τον πράκτορα Defender for Endpoint’s Network Protection (NP) αντιστοιχίζοντας τη διεύθυνση IP, τη θύρα, το όνομα κεντρικού υπολογιστή και άλλες τιμές της εξερχόμενης σύνδεσης με δεδομένα από το Microsoft Cloud.
Εάν η σύνδεση αξιολογηθεί ως κακόβουλη από τις μηχανές τεχνητής νοημοσύνης και βαθμολογίας της Microsoft που υποστηρίζονται από cloud, το MDE θα αποκλείσει αυτόματα τη σύνδεση και θα επαναφέρει τα δυαδικά αρχεία κακόβουλου λογισμικού σε προηγούμενη καθαρή κατάσταση.
Αφού εντοπιστεί η κακόβουλη σύνδεση, θα προστεθεί μια ειδοποίηση “Η προστασία δικτύου απέκλεισε μια πιθανή σύνδεση C2” στην πύλη του Microsoft 365 Defender, παρέχοντας στα μέλη της ομάδας SecOps λεπτομέρειες, όπως το επίπεδο σοβαρότητας και τα επηρεαζόμενα στοιχεία, καθώς και το χρονικό διάστημα δραστηριότητας.
