微软宣布使用Intel TDT技术检测挖矿木马 – 作者:Avenger

微软宣布其商业版反病毒软件Microsoft Defender for Endpoint开始利用英特尔的威胁检测技术(TDT)来阻止挖掘加密货币的恶意软件滥用失陷主机的计算资源。

Screenshot of a Microsoft Defender for Endpoint alert in the security center about a CoinMiner that was blocked.

英特尔威胁检测技术(TDT)可以和安全软件共享启发式检测和遥测技术,安全软件可以使用这些书检测与恶意代码相关的行为活动。TDT技术会利用机器学习来分析CPU的性能监视单元(PMU)产生的低级硬件遥测数据,在运行时检测恶意软件执行的“指纹”。TDT技术在任何支持Intel vPro技术的第六代与后续高版本的Intel CPU中都会得到支持。

Architectural diagram showing the flow of how malware launches in the OS and cloaks as a lightweight VM, Intel monitors the CPU telemetry and the Intel TDT detects the OS and VM malware, at the end, Microsoft Defender for Endpoint remediates the malware.

微软将将英特尔威胁检测技术(TDT)集成到Microsoft Defender for Endpoint中,该功能可以增强对加密货币矿工的检测能力。TDT技术可以利用Intel芯片中的性能分析工具来监视和检测恶意软件的执行行为,TDT技术可以将机器学习推断过程进一步转移到集成的GPU中,从而可以以很小的开销进行持续的监控

Microsoft Defender TDT 2

微软的安全专家指出,加密货币矿工会大量使用由PMU监视的重复数学计算。当恶意软件的算力达到某个阈值时,PMU就会生成预警信号,由机器学习引擎进行分析,确定该活动是否与加密货币矿工相关。

Screenshot of a Windows desktop with a notification from Windows Security about a threat that was detected by Intel TDT and Microsoft Defender.

该预警信号与加密货币矿工的执行特性相关,不受其他CPU利用率高的程序的影响,也不受恶意软件常用的反分析技术(例如代码混淆或内存解密等手段)的影响。这种技术对使用复杂检测逃避技术的恶意软件非常有用,还可用于检测虚拟机/容器逃逸的恶意代码的活动。

Screenshot of the Windows Security protection history screen showing that a coinminer threat was blocked by Intel TDT and Microsoft Defender.

“当组织希望聚焦安全能力建设时,我们致力于基于内置平台的安全防护,提供一种最佳的、精简的解决方案。微软与业界的OEM、技术合作伙伴进行合作,微软也保持与芯片制造商的紧密合作,探索基于硬件的防御能力提供抵御网络威胁的能力”。

参考来源

SecurityAffairs

Microsoft

来源:freebuf.com 2021-04-27 22:02:32 by: Avenger

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论