Table des matières
- Identification des appareils infectés avec Defender for Endpoint
- L’importance de surveiller les sessions RDP
- Détection des appareils infectés : Fonctionnement des bureaux cachés sous Windows
- Exploitation des Windows Stations
- Détection des appareils infectés : Le réseau virtuel caché (hVNC)
- Suppression des traces d’activité
- Renforcement de la détection avec Defender for Endpoint
- Détection des appareils infectés : Avantages pour les administrateurs
Microsoft vient de lancer des outils innovants pour détecter les appareils infectés dans les entreprises.
Identification des appareils infectés avec Defender for Endpoint
D’abord, les analystes peuvent maintenant repérer, analyser et rechercher des processus suspects grâce au champ “DesktopName” dans Defender for Endpoint. Ainsi, cet outil permet de surveiller les activités suspectes sur des “bureaux cachés”.
L’importance de surveiller les sessions RDP
Ensuite, l’utilisation malveillante du protocole de bureau à distance (RDP) augmente, surtout avec la montée des attaques par ransomware. Il devient donc crucial de surveiller les sessions RDP pour détecter toute activité anormale.
Détection des appareils infectés : Fonctionnement des bureaux cachés sous Windows
Par défaut, Windows autorise une seule session RDP à distance. Les attaquants profitent de cette limitation en créant des objets “bureau caché” pour contrôler le système à l’insu de l’utilisateur légitime. Ainsi, cela permet à l’attaquant de rester invisible tout en utilisant l’ordinateur en arrière-plan.
Exploitation des Windows Stations
En outre, les attaquants ciblent les sessions utilisateur en exploitant plusieurs objets Windows Station. Ainsi, un seul objet Windows Station peut être interactif à la fois, laissant les autres services non interactifs, ce qui complique la détection de l’activité malveillante.
Détection des appareils infectés : Le réseau virtuel caché (hVNC)
Par ailleurs, le hVNC, ou réseau virtuel caché, utilise une fonctionnalité de Windows pour créer plusieurs bureaux interactifs dans une session unique. En plus, les attaquants utilisent cette technique pour gérer à distance les événements sur l’appareil ciblé en ouvrant un bureau virtuel caché.
Suppression des traces d’activité
Pour effacer toute trace, les attaquants créent un nouveau bureau Windows, ce qui complique la détection des activités suspectes.
Renforcement de la détection avec Defender for Endpoint
Defender for Endpoint peut maintenant identifier l’utilisation de bureaux cachés par les attaquants. Ainsi, un exemple courant est l’exécution interactive de PowerShell.exe sur un bureau caché. Les administrateurs peuvent utiliser des requêtes de chasse avancées pour détecter ces processus anormaux.
Détection des appareils infectés : Avantages pour les administrateurs
Grâce à ces nouvelles fonctionnalités, les administrateurs ont une meilleure visibilité et un contrôle accru pour détecter, enquêter et traquer les menaces. Ainsi, ils peuvent anticiper les attaques et protéger efficacement les systèmes de leur entreprise.
En résumé, Microsoft renforce la cybersécurité des entreprises avec des outils puissants pour détecter les appareils compromis, en mettant l’accent sur la surveillance des bureaux cachés et des sessions RDP.