[[397083]]

微軟宣布其商業(yè)版反病毒軟件Microsoft Defender for Endpoint開始利用英特爾的威脅檢測技術(shù)(TDT)來阻止挖掘加密貨幣的惡意軟件濫用失陷主機(jī)的計算資源。

英特爾威脅檢測技術(shù)(TDT)可以和安全軟件共享啟發(fā)式檢測和遙測技術(shù)，安全軟件可以使用這些書檢測與惡意代碼相關(guān)的行為活動。TDT技術(shù)會利用機(jī)器學(xué)習(xí)來分析CPU的性能監(jiān)視單元(PMU)產(chǎn)生的低級硬件遙測數(shù)據(jù)，在運(yùn)行時檢測惡意軟件執(zhí)行的“指紋”。TDT技術(shù)在任何支持Intel vPro技術(shù)的第六代與后續(xù)高版本的Intel CPU中都會得到支持。

微軟將將英特爾威脅檢測技術(shù)(TDT)集成到Microsoft Defender for Endpoint中，該功能可以增強(qiáng)對加密貨幣礦工的檢測能力。TDT技術(shù)可以利用Intel芯片中的性能分析工具來監(jiān)視和檢測惡意軟件的執(zhí)行行為，TDT技術(shù)可以將機(jī)器學(xué)習(xí)推斷過程進(jìn)一步轉(zhuǎn)移到集成的GPU中，從而可以以很小的開銷進(jìn)行持續(xù)的監(jiān)控。

Microsoft Defender TDT 2

微軟的安全專家指出，加密貨幣礦工會大量使用由PMU監(jiān)視的重復(fù)數(shù)學(xué)計算。當(dāng)惡意軟件的算力達(dá)到某個閾值時，PMU就會生成預(yù)警信號，由機(jī)器學(xué)習(xí)引擎進(jìn)行分析，確定該活動是否與加密貨幣礦工相關(guān)。

該預(yù)警信號與加密貨幣礦工的執(zhí)行特性相關(guān)，不受其他CPU利用率高的程序的影響，也不受惡意軟件常用的反分析技術(shù)(例如代碼混淆或內(nèi)存解密等手段)的影響。這種技術(shù)對使用復(fù)雜檢測逃避技術(shù)的惡意軟件非常有用，還可用于檢測虛擬機(jī)/容器逃逸的惡意代碼的活動。

“當(dāng)組織希望聚焦安全能力建設(shè)時，我們致力于基于內(nèi)置平臺的安全防護(hù)，提供一種最佳的、精簡的解決方案。微軟與業(yè)界的OEM、技術(shù)合作伙伴進(jìn)行合作，微軟也保持與芯片制造商的緊密合作，探索基于硬件的防御能力提供抵御網(wǎng)絡(luò)威脅的能力”。

參考來源：

• SecurityAffairs
• Microsoft