Intel и Microsoft запускают аппаратную технологию борьбы со скрытым криптомайнингом


Рекомендованные сообщения

 

Intel и Microsoft запускают аппаратную технологию борьбы со скрытым криптомайнингом

Мощная аппаратная технология обнаружения угроз интегрируется в продукт безопасности Microsoft для предприятий, чтобы помочь защитить их от вредоносных программ скрытого криптомайнинга.

Об этом шаге, который объединяет технологию Intel Threat Detection Technology с Microsoft Defender для конечных точек, было объявлено в понедельник в блоге, написанном Картиком Селвараджем, главным менеджером группы исследований Microsoft 365 Defender Research.

«Подход Microsoft - хороший шаг», - заметил Дирк Шрейдер, глобальный вице-президент New Net Technologies, поставщика программного обеспечения для ІТ-безопасности и соблюдения нормативных требований.

Он объяснил, что, поскольку майнеры криптовалют используют небольшую часть мощности многих устройств, службы безопасности часто игнорируют их.

Часто службы безопасности не выполняют никаких действий чтобі предотвратить скрытый майнинг, потому что на предприятии его сложно обнаружить.

«Медленные или устаревшие машины являются нормой для многих предприятий из-за раздутого программного обеспечения, а также из-за того, что на них выполняется обнаружение множества угроз и автоматические обновления», - пояснил Пурандар Дас, генеральный директор и соучредитель Sotero, компании по защите данных в Берлингтоне.

Проблема с отказом от пресечения действий криптомайнеров заключается в том, что криптовалюта, добытая в этих организациях, затем используется для финансирования другой деятельности, как правило преступной, или спонсируемых государством субъектов, утверждает Шрейдер.

Преимущества производительности

Дас отметил, что выполнение задач безопасности в аппаратном модуле, как это делают Microsoft и Intel, дает значительные преимущества в производительности.

«Процесс идентификации, основанный на использовании ресурсов и даже их мониторинге, происходит намного быстрее, чем при использовании подходов, основанных на программном обеспечении», - сказал он.

«Не менее важно, - продолжил он, - что это устраняет необходимость развертывания программного обеспечения, которое может содержать ошибки и потенциально иметь уязвимости».

Ловушка для майнеров на центральном процессоре

Intel TDT применяет машинное обучение к аппаратной телеметрии низкого уровня, полученной непосредственно от блока мониторинга производительности ЦП (PMU), для обнаружения «следа» запуска вредоносного кода во время выполнения с минимальными потерями, пишет Сельварадж.

TDT использует богатый набор событий профилирования производительности, доступных в Intel SoC (система на кристалле), для отслеживания и обнаружения вредоносных программ в конечной точке их выполнения (ЦП), продолжил он.

Это происходит независимо от методов обфускации, в том числе, когда вредоносное ПО скрывается внутри виртуализированных гостевых систем и не требует навязчивых методов, таких как внедрение кода или выполнение сложной интроспекции гипервизора.

Дополнительного прироста производительности можно достичь, переложив часть машинного обучения на интегрированный графический процессор (GPU) Intel.

Сельварадж объяснил, что технология TDT основана на сигналах телеметрии, поступающих непосредственно от PMU, блока, который записывает низкоуровневую информацию о производительности и характеристиках выполнения микроархитектур инструкций, обрабатываемых ЦП.

Майнеры криптовалют интенсивно используют повторяющиеся математические операции, и эта активность регистрируется PMU, который запускает сигнал при достижении определенного порога использования.

all-about-cryptojacking .jpg (100 KB)

Сигнал обрабатывается уровнем машинного обучения, который может распознавать след, создаваемый конкретной деятельностью по добыче крипты. Поскольку сигнал исходит исключительно от использования ЦП, вызванного рабочими характеристиками вредоносного ПО, на него не влияют распространенные методы уклонения от вредоносных программ, такие как двоичное обфускация или полезные нагрузки только для памяти.

Безагентное обнаружение вредоносных программ

Сельварадж добавил, что интегрированное решение TDT также может выявить майнеров, скрывающихся в незащищенных виртуальных машинах или других блоках.

«Microsoft Defender для Endpoint может остановить саму виртуальную машину или сообщить о злоупотреблении виртуальной машиной, тем самым предотвращая распространение атаки, а также экономя ресурсы», - написал он.

«Это один шаг на пути к безагентному обнаружению вредоносных программ, когда «защита» может защитить актив от «злоумышленника», не используя ту же ОС», - добавил он.

Специалисты по безопасности будут приветствовать любые улучшения в блокировке криптомайнеров в корпоративных системах, поскольку скрытый криптомайнинг очень сложно обнаружить.

По материалам: Technewsworld

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...