En sak som de flesta skadliga program måste göra är att begära ytterligare instruktioner från sin kommando- och kontrollserver (C2). Genom att avlyssna denna trafik innan information kan utbytas hoppas Microsoft kunna stoppa många attacker som dött i deras spår.
Företaget lade nyligen till en ny funktion till sin Microsoft Defender for Endpoint (MDE) säkerhetsplattform som meddelar administratörer när en skadlig anslutning görs. Det kan ta bort denna anslutning och spara detaljerna för senare utvärdering.
Som rapporterats av BleepingComputer är den nya funktionen för närvarande i offentlig förhandsvisning.
Tidigare upptäckter
Med den nya funktionen aktiverad kommer Defender for Endpoints nätverksskyddsagent (NP) att mappa alla IP-adresser, portar, värdnamn och annan data på den utgående anslutningen, med data från Microsoft Cloud. Om det upptäcker en koppling som företagets AI-baserade poängmotorer anser vara skadlig, kommer verktyget att blockera den och återställa de skadliga binärfilerna för att förhindra ytterligare skada.
Det kommer sedan att lägga till en post som säger "Nätverksskydd blockerade en möjlig C2-anslutning", som kan utvärderas av SecOps-team.
"SecOps-team behöver korrekta varningar som kan identifiera utsatta områden och tidigare inloggningar till kända skadliga IP-adresser", säger Oludele Ogunrinde, MDE:s senior program manager.
"Med de nya funktionerna hos Microsoft Defender for Endpoint kan SecOps-team upptäcka C2-nätverksattacker tidigare i attackkedjan, minimera spridningen genom att snabbt blockera spridningen av ytterligare attacker och minska tiden som krävs för begränsning. Eliminera lätt skadliga binärer".
För att dra nytta av den nya funktionen måste användare ha aktiverat Microsoft Defender Antivirus med realtidsskydd och molnskydd. Dessutom kräver de MDE i aktivt läge, nätverksskydd i blockläge och motorversion 1.1.17300.4.
När förhandsgranskningen är klar kommer den nya funktionen att vara tillgänglig i Windows 10 1709 och senare, Windows Server 1803 och Windows Server 2019.
Via BleepingComputer (öppnas i en ny flik)