tos-akibaのブログ

主に Microsoft 365 Security について

Defender のネットワーク保護機能による C2通信の検出

攻撃者のランサムウェア攻撃においてフィッシング等から侵害に成功すると、感染したデバイスからは Command-and-control(C2)サーバーへ接続し、ランサムウェアペイロードをダウンロードされ、悪意ある操作をされてしまいます。
この C2 サーバーへの通信を早期に検出しブロックすることが攻撃の阻止に繋がります。
Microsoft Defender for Endpoint では、Network Protection の新しい C2 ブロック機能が提供(パブリックプレビュー)されています。
Stopping C2 communications in human-operated ransomware through network protection - Microsoft Security Blog

 

上記ブログの中盤に、C2 ベースの攻撃に対する Defender の連携機能が図示(図5)されています。

  1. アプリケーションが既知の C2 へ接続しようとすると、Network Protection が検知し、送信トラフィックをブロック
  2. Network Protection は、Microsoft Defender for AntiVirus へ情報伝達し、プロセスを修復
  3. Defender for Endpoint ポータルに通知され、攻撃チェーンの確認や、修復、調査等が行える

 

Network Protection の C2 検出機能については、10月12日のブログに前提条件なども含め、詳細が記載されています。
Detection and response to command and control attacks.