freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

微软宣布使用Intel TDT技术检测挖矿木马
Avenger 2021-04-27 22:02:32 189749

微软宣布其商业版反病毒软件Microsoft Defender for Endpoint开始利用英特尔的威胁检测技术(TDT)来阻止挖掘加密货币的恶意软件滥用失陷主机的计算资源。

Screenshot of a Microsoft Defender for Endpoint alert in the security center about a CoinMiner that was blocked.

英特尔威胁检测技术(TDT)可以和安全软件共享启发式检测和遥测技术,安全软件可以使用这些书检测与恶意代码相关的行为活动。TDT技术会利用机器学习来分析CPU的性能监视单元(PMU)产生的低级硬件遥测数据,在运行时检测恶意软件执行的“指纹”。TDT技术在任何支持Intel vPro技术的第六代与后续高版本的Intel CPU中都会得到支持。

Architectural diagram showing the flow of how malware launches in the OS and cloaks as a lightweight VM, Intel monitors the CPU telemetry and the Intel TDT detects the OS and VM malware, at the end, Microsoft Defender for Endpoint remediates the malware.

微软将将英特尔威胁检测技术(TDT)集成到Microsoft Defender for Endpoint中,该功能可以增强对加密货币矿工的检测能力。TDT技术可以利用Intel芯片中的性能分析工具来监视和检测恶意软件的执行行为,TDT技术可以将机器学习推断过程进一步转移到集成的GPU中,从而可以以很小的开销进行持续的监控

Microsoft Defender TDT 2

微软的安全专家指出,加密货币矿工会大量使用由PMU监视的重复数学计算。当恶意软件的算力达到某个阈值时,PMU就会生成预警信号,由机器学习引擎进行分析,确定该活动是否与加密货币矿工相关。

Screenshot of a Windows desktop with a notification from Windows Security about a threat that was detected by Intel TDT and Microsoft Defender.

该预警信号与加密货币矿工的执行特性相关,不受其他CPU利用率高的程序的影响,也不受恶意软件常用的反分析技术(例如代码混淆或内存解密等手段)的影响。这种技术对使用复杂检测逃避技术的恶意软件非常有用,还可用于检测虚拟机/容器逃逸的恶意代码的活动。

Screenshot of the Windows Security protection history screen showing that a coinminer threat was blocked by Intel TDT and Microsoft Defender.

“当组织希望聚焦安全能力建设时,我们致力于基于内置平台的安全防护,提供一种最佳的、精简的解决方案。微软与业界的OEM、技术合作伙伴进行合作,微软也保持与芯片制造商的紧密合作,探索基于硬件的防御能力提供抵御网络威胁的能力”。

参考来源

SecurityAffairs

Microsoft

# 微软 # 挖矿 # 英特尔 # TDT
本文为 Avenger 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
Avenger LV.7
这家伙太懒了,还未填写个人描述!
  • 532 文章数
  • 178 关注者
利用 CVE-2024-21412 进行窃密的攻击激增
2024-07-28
滥用云服务进行传播的恶意软件越来越多
2024-07-03
详解 RisePro 信息窃密木马
2024-07-03
文章目录