Una cosa que la mayoría de los programas maliciosos deben hacer es solicitar más instrucciones a su servidor de comando y control (C2). Al capturar este tráfico antes de que se pueda intercambiar información, Microsoft espera detener muchos ataques en seco.
La compañía agregó recientemente una nueva característica a su plataforma de seguridad Microsoft Defender for Endpoint (MDE) que notifica a los administradores cuando se establece una conexión maliciosa. Es capaz de eliminar esa conexión y registrar los detalles para una evaluación adicional.
Según lo informado por computadora pitido, la nueva función se encuentra actualmente en versión preliminar pública.
Detecciones anteriores
Con la nueva función habilitada, el agente Network Protection (NP) de Defender for Endpoint asignará todas las direcciones IP, puertos, nombres de host y otros datos de la conexión saliente, con datos de Microsoft Cloud. Si detecta una conexión que los motores de puntuación impulsados por IA de la empresa consideran maliciosa, la herramienta la bloqueará y revertirá los archivos binarios de malware para evitar daños mayores.
Luego agregará un registro, que indicará «La protección de la red bloqueó una posible conexión C2», que los equipos de SecOps pueden evaluar más tarde.
«Los equipos de SecOps necesitan alertas precisas que puedan definir con precisión las áreas de riesgo y las conexiones anteriores a direcciones IP maliciosas conocidas», dijo Oludele Ogunrinde, gerente sénior de programas de MDE.
«Con las nuevas capacidades de Microsoft Defender para Endpoint, los equipos de SecOps pueden detectar ataques C2 de red antes en la cadena de ataque, minimizar la propagación bloqueando rápidamente cualquier propagación de ataque adicional y reducir el tiempo que lleva mitigar eliminando fácilmente archivos binarios maliciosos».
Para aprovechar la nueva función, los usuarios deben tener Microsoft Defender Antivirus con protección en tiempo real y protección en la nube activada. Además, necesitan MDE en modo activo, protección de red en modo de bloqueo y la versión del motor 1.1.17300.4.
Una vez que se complete el lanzamiento de la vista previa, la nueva característica estará disponible en Windows 10 1709 y más reciente, Windows Server 1803 y Windows Server 2019.
Vía BleepingComputer (se abre en una pestaña nueva)