Ein enttäuschter Hacker, der dank des Microsoft Defenders gerade die Verbindung zu seiner Malware verloren hat (Symbolbild)
Ein enttäuschter Hacker, der dank des Microsoft Defenders gerade die Verbindung zu seiner Malware verloren hat (Symbolbild)
Bildquelle: phonlamai, Lizenz

Microsoft Defender lässt Malware nicht „nach Hause telefonieren“

Der Microsoft Defender for Endpoint soll Malware zukünftig anhand ihrer Verbindung zu einem C2-Server erkennen und unschädlich machen können.

Durch ein neues Funktionsupdate will Microsoft mit seinem Defender for Endpoint erkennen können, wann eine Malware mit einem C2-Server kommuniziert. Das Tool stellt daraufhin nützliche Informationen zum Angriff bereit und macht die bösartige Software unschädlich. Doch der Einsatz des neuen Features ist – wie zu erwarten – an Voraussetzungen geknüpft.

Microsoft Defender schickt C2-Verbindungen ins Jenseits

Microsofts Defender for Endpoint (MDE) hat ein Update für die Erkennung von Command-and-Control-Traffic (C2) erhalten. Damit kann die Sicherheitsplattform für Unternehmensendgeräte zukünftig Malware erkennen, die „nach Hause telefoniert„, wie E.T. sagen würde. Denn häufig kommuniziert Schadsoftware auf Netzwerkebene mit einem C2-Server, um von dort weitere Module nachzuladen und Befehle eines Angreifers auszuführen.

Diese C2-Verbindungen erkennt der Network Protection Agent des MDE in Zukunft durch einen Abgleich der IP-Adressen, Portnummern, Hostnamen und weiterer Parameter mit Daten aus der Cloud von Microsoft. Cloud-basierte KI- und Scoring-Engines bewerten anschließend die übermittelten Verbindungsparameter. Stellt sich eine Verbindung als bösartig heraus, so blockiert MDE diese automatisch und setzt die Malware-Binärdateien auf einen früheren Zustand zurück, um sie unschädlich zu machen.

Sicherheitsteams erhalten nützliche Informationen zum Angriff

Im Microsoft 365 Defender-Portal erscheint infolgedessen eine Meldung, die die Mitglieder des Sicherheitsteams auf die Blockierung einer potenziellen C2-Verbindung hinweist. Weitere Informationen, beispielsweise zum Schweregrad, den betroffenen Systemen und der Aktivitätszeitspanne sind dort ebenfalls abrufbar.

Um diese Botnet-Infektionen schnell zu erkennen und zu bereinigen, benötigen SecOps-Teams präzise Warnmeldungen, die die gefährdeten Bereiche und frühere Verbindungen zu bekannten bösartigen IPs genau definieren können„, teilt der MDE Senior Program Manager Oludele Ogunrinde in einem Artikel zu der neuen Funktionalität des Microsoft Defenders mit.

Neben MDE sind noch weitere Microsoft-Produkte erforderlich

Zu den Voraussetzungen, um das neue Feature nutzen zu können, gehört der Einsatz von Microsoft Defender Antivirus mit aktiviertem Echtzeitschutz und cloudbasiertem Schutz, MDE im aktiven Modus, Network Protection im Blockmodus sowie die zugehörige Engine ab Version 1.1.17300.4 aufwärts. Windows-Geräte ab Windows 10 Version 1709 beziehungsweise Windows Server 1803 oder 2019 sind ebenfalls erforderlich.

Bleibt nur zu hoffen, dass Microsoft angesichts der vielen neuen und supertollen Features in diversen Produkten des Unternehmens irgendwann auch mal wieder die Zeit findet, um dadurch entstandene Lücken zu stopfen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.