Sec Hotspot 首页  友情链接  收藏本站  技术博客  RSS
统计信息
已收录文章数量:14646 篇
已收录公众号数量:68 个
本站文章为爬虫采集,如有侵权请告知
微软防病毒软件Defender使用英特尔TDT技术对抗加密采矿恶意软件
本文来自公众号:邑安全   2021.04.29 12:38:08

更多全球网络安全资讯尽在邑安全

微软宣布了对Defender防病毒软件的改进,它将利用英特尔的威胁检测技术(TDT)来检测与加密矿工相关的进程。

微软宣布其商业版Windows 10 Defender防病毒软件Microsoft Defender for Endpoint实现了一种新机制,该机制利用英特尔的威胁检测技术(TDT)来阻止使用

加密劫持恶意软件使威胁参与者能够秘密挖矿以获取加密货币,从而滥用受感染设备的计算资源。

英特尔TDT技术允许与安全软件共享启发式和遥测技术,这些软件可以使用此数据来检测与恶意代码相关的活动。英特尔TDT利用机器学习来分析CPU性能监视单元(PMU)产生的低级硬件遥测,并在运行时使用它来检测恶意软件代码执行“指纹”。TDT当前在Intel Core处理器和任何支持Intel vPro技术的 第六代 或更高版本的Intel CPU系列中实现 。

“今天,我们宣布将 英特尔威胁检测技术 (TDT)集成到Microsoft Defender for Endpoint中,该功能增强了检测能力并防止了加密劫持恶意软件。” 阅读 公告 由Microsoft发布。TDT利用英特尔SoC(片上系统)中可用的丰富性能分析事件集来监视和检测恶意软件的最终执行点(CPU)。不管采用哪种混淆技术,都不会发生这种情况,包括恶意软件何时隐藏在虚拟化来宾中,而无需使用诸如代码注入或执行复杂的系统管理程序自检之类的侵入性技术。TDT可以将机器学习推断进一步转移到集成图形处理单元(GPU),从而可以以很少的开销进行连续监控。”



微软专家指出,加密货币矿工大量使用了由PMU监视的重复数学运算。当恶意代码使用的计算能力达到某个使用阈值时,PMU会生成一个信号,然后由机器学习引擎进行分析,以确定该活动是否与矿工相关联。

“由于该信号完全是由恶意软件的执行特性所引起的,因此完全不受CPU利用率的影响,因此不受普通的反恶意软件规避技术(例如二进制混淆或仅内存有效载荷)的影响。” 继续公告。

此安全技术对实施复杂规避技术的恶意软件非常有效,它还可用于检测从虚拟机或容器内部运行的恶意代码的活动,以试图将其存在伪装成在底层运行的AV软件操作系统。

“当组织希望简化其安全投资时,我们致力于基于内置平台的安全技术,提供一种最佳且精简的解决方案,使防御者能够提升其安全性并保护其组织。这项合作伙伴关系是Microsoft与原始设备制造商(OEM)和技术合作伙伴进行合作投资的一部分。” 微软总结。“我们正在与芯片制造商紧密合作,以始终探索基于硬件的防御强化的新可能性,并提供强大而有弹性的抵御网络威胁的保护。”

原文来自: securityaffairs.co

原文链接: https://securityaffairs.co/wordpress/117272/security/microsoft-defender-tdt.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP)