[[397083]]

微軟宣布其商業版反病毒軟件Microsoft Defender for Endpoint開始利用英特爾的威脅檢測技術(TDT)來阻止挖掘加密貨幣的惡意軟件濫用失陷主機的計算資源。

英特爾威脅檢測技術(TDT)可以和安全軟件共享啟發式檢測和遙測技術，安全軟件可以使用這些書檢測與惡意代碼相關的行為活動。TDT技術會利用機器學習來分析CPU的性能監視單元(PMU)產生的低級硬件遙測數據，在運行時檢測惡意軟件執行的“指紋”。TDT技術在任何支持Intel vPro技術的第六代與后續高版本的Intel CPU中都會得到支持。

微軟將將英特爾威脅檢測技術(TDT)集成到Microsoft Defender for Endpoint中，該功能可以增強對加密貨幣礦工的檢測能力。TDT技術可以利用Intel芯片中的性能分析工具來監視和檢測惡意軟件的執行行為，TDT技術可以將機器學習推斷過程進一步轉移到集成的GPU中，從而可以以很小的開銷進行持續的監控。

Microsoft Defender TDT 2

微軟的安全專家指出，加密貨幣礦工會大量使用由PMU監視的重復數學計算。當惡意軟件的算力達到某個閾值時，PMU就會生成預警信號，由機器學習引擎進行分析，確定該活動是否與加密貨幣礦工相關。

該預警信號與加密貨幣礦工的執行特性相關，不受其他CPU利用率高的程序的影響，也不受惡意軟件常用的反分析技術(例如代碼混淆或內存解密等手段)的影響。這種技術對使用復雜檢測逃避技術的惡意軟件非常有用，還可用于檢測虛擬機/容器逃逸的惡意代碼的活動。

“當組織希望聚焦安全能力建設時，我們致力于基于內置平臺的安全防護，提供一種最佳的、精簡的解決方案。微軟與業界的OEM、技術合作伙伴進行合作，微軟也保持與芯片制造商的緊密合作，探索基于硬件的防御能力提供抵御網絡威脅的能力”。

參考來源：

• SecurityAffairs
• Microsoft