微软宣布其商业版反病毒软件Microsoft Defender for Endpoint开始利用英特尔的威胁检测技术(TDT)来阻止挖掘加密货币的恶意软件滥用失陷主机的计算资源。
英特尔威胁检测技术(TDT)可以和安全软件共享启发式检测和遥测技术,安全软件可以使用这些书检测与恶意代码相关的行为活动。TDT技术会利用机器学习来分析CPU的性能监视单元(PMU)产生的低级硬件遥测数据,在运行时检测恶意软件执行的“指纹”。TDT技术在任何支持Intel vPro技术的第六代与后续高版本的Intel CPU中都会得到支持。
微软将将英特尔威胁检测技术(TDT)集成到Microsoft Defender for Endpoint中,该功能可以增强对加密货币矿工的检测能力。TDT技术可以利用Intel芯片中的性能分析工具来监视和检测恶意软件的执行行为,TDT技术可以将机器学习推断过程进一步转移到集成的GPU中,从而可以以很小的开销进行持续的监控。
Microsoft Defender TDT 2
微软的安全专家指出,加密货币矿工会大量使用由PMU监视的重复数学计算。当恶意软件的算力达到某个阈值时,PMU就会生成预警信号,由机器学习引擎进行分析,确定该活动是否与加密货币矿工相关。
该预警信号与加密货币矿工的执行特性相关,不受其他CPU利用率高的程序的影响,也不受恶意软件常用的反分析技术(例如代码混淆或内存解密等手段)的影响。这种技术对使用复杂检测逃避技术的恶意软件非常有用,还可用于检测虚拟机/容器逃逸的恶意代码的活动。
“当组织希望聚焦安全能力建设时,我们致力于基于内置平台的安全防护,提供一种最佳的、精简的解决方案。微软与业界的OEM、技术合作伙伴进行合作,微软也保持与芯片制造商的紧密合作,探索基于硬件的防御能力提供抵御网络威胁的能力”。
参考来源:
- SecurityAffairs
- Microsoft