Microsofts neues Funktionsupdate für den Defender for Endpoint ermöglicht es, Malware anhand ihrer Verbindung zu einem C2-Server zu erkennen und unschädlich zu machen. Dies geschieht durch einen Abgleich der IP-Adressen, Portnummern, Hostnamen und anderer Parameter mit Daten aus der Cloud von Microsoft. Cloud-basierte KI- und Scoring-Engines bewerten die übermittelten Verbindungsparameter und blockieren automatisch bösartige C2-Verbindungen. Die Malware-Binärdateien werden auf einen früheren Zustand zurückgesetzt um sie zu deaktivieren.
Sicherheitsteams erhalten wichtige Informationen bezüglich des Angriffs, einschließlich des Schweregrads der betroffenen Systeme und der Aktivitätszeitspanne, über das Microsoft 365 Defender-Portal. In einem Blogbeitrag betonte der MDE Senior Program Manager Oludele Ogunrinde, dass präzise Warnmeldungen notwendig sind um Botnet-Infektionen schnell zu erkennen und zu bereinigen.
Um das neue Feature nutzen zu können, müssen mehrere Voraussetzungen erfüllt sein. Dazu gehört der Einsatz von Microsoft Defender Antivirus mit aktiviertem Echtzeitschutz und cloudbasiertem Schutz, MDE im aktiven Modus, Network Protection im Blockmodus und ebenfalls die zugehörige Engine ab Version 1․1․17300.4 aufwärts. Windows-Geräte ab Windows 10 Version 1709, Windows Server 1803 oder 2019 sind ähnlich wie notwendig.
![[Update] Windows Defender: Virenschutz für Android-Smartphones](https://nydus.org/photo/news/351589.jpg)
Kommentare
Microsofts neues Funktionsupdate für den Defender for Endpoint bietet eine gute Möglichkeit, Malware durch C2-Verbindungen zu erkennen und zu blockieren. Das Tool bietet ebenfalls wichtige Informationen für Sicherheitsteams um Infektionen schnell zu erkennen und zu bereinigen. Allerdings müssen mehrere Voraussetzungen erfüllt sein um das Feature nutzen zu können. Es bleibt abzuwarten, ob Microsoft in Zukunft weitere Maßnahmen ergreifen wird um Cyberangriffe effektiver zu bekämpfen.