Microsoft Defender now auto-isolates compromised accounts
2023/10/11 BleepingComputer — Microsoft Defender for Endpoint の、新たな Contain User 機能のプレビューは、人手による攻撃で侵害されたユーザー・アカウントを分離し、横方向の移動をブロックするという、自動的な攻撃阻止を目指すものとなっている。この種のハンズオンキーボード攻撃では、人間により操作されるランサムウェアのケースと同様に、脅威者がネットワークに侵入し、盗んだアカウントで権限を昇格させた後に、横方向への移動や悪意のペイロード展開が行われる。
Microsoft によると、Defender for Endpoint の新機能では、攻撃者が目的を達成するために悪用する、侵害されたユーザー・アカウント (suspicious identities) を一時的に隔離することで、被害者のオンプレミスまたはクラウド IT インフラ内での、攻撃者の横移動を阻止するとされる。
Microsoft 365 の Corporate VP for Srcurity である Rob Lefferts は、「すべてのデバイス上で、侵害されたユーザーを封じ込め、アカウントの悪用を阻止することで、クレデンシャル窃取/横移動/データ流出/リモートからの暗号化といった悪意の行動を防止する。この “on-by-default” 機能は、侵害されたユーザーと他のエンドポイントとの、関連アクティビティの有無を識別し、すべてのインバウンド/アウトバウンド通信を即座に遮断し、実質的に封じ込めるものだ」と述べている。
Microsoft 365 Defender における各種のワークロード (Identity/Endpoint/Email/SaaS apps) からのシグナルを利用して、人為的な攻撃の初期段階をエンドポイントで検出すると、自動化された攻撃妨害機能により、そのデバイス上の攻撃がブロックされるという。
それと同時に Defender for Endpoint は、悪意のトラフィックの着信をブロックすることで、組織内の他の全デバイスを “無害化” し、攻撃者に対して他の標的を与えないようにする。
Microsoft は、「検出されたシグナルに ID が含まれている場合には、Defender for Endpoint が搭載されたデバイスは、攻撃に関連する特定のプロトコル (Network Logons/RPC/SMB/RDP) の受信トラフィックをブロックするが、正当なトラフィックは有効にする。
このアクションにより、攻撃の影響を大幅に軽減できる。ID が封じ込められると、セキュリティ・オペレーション・アナリストは、侵害された ID の脅威を突き止め、特定/修復ための時間に余裕を持てる」と述べている。
2022年11月に Microsoft は、開発者のためのアニュアル・カンファレンス Microsoft Ignite において、Microsoft 365 Defender XDR (Extended Detection and Response) ソリューションに、自動的な攻撃阻止機能を追加している。この機能は、影響を受けたネットワーク資産を自動的に保護するために、進行中の攻撃を封じ込め、横方向の動きを制限するためのものである。
Microsoft の内部データによると、「BlackByte/Akira などによる、2023年8月以降のランサムウェア・キャンペーンにおいて、6,500台以上のデバイスが暗号化を免れている。また、2022年6月以降において Defender for Endpoint は、ハッキングされたWindows デバイスの隔離を可能にしている。そして、侵害されたデバイスとの間の全通信をブロックすることで、被害者のネットワーク上における攻撃者の横移動を阻止している」という。
つい、この間は、Tor Browser の誤検知をやらかしましたが、Microsoft も頑張りますね。とにかく、横移動はさせないという強い意志を感じます。よろしければ、Defender で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.