Джон П. Мелло младший
28 апреля 2021 г., 4:00 утра по тихоокеанскому времени
Мощная аппаратная технология обнаружения угроз интегрируется в продукт корпоративной безопасности Microsoft для защиты предприятий от криптоджекинга вредоносное ПО.
Переход, который объединяет технологию Intel Threat Detection Technology с Microsoft Defender для конечных точек, был объявлен в понедельник в блоге, написанном Картиком Селвараджем, главным менеджером по исследованиям исследовательской группы Microsoft 365 Defender Research.
«Подход Microsoft — хороший шаг», — заметил Дирк Шрейдер, глобальный вице-президент New Net Technologies, поставщика программного обеспечения для ИТ-безопасности и соблюдения нормативных требований из Неаполя, штат Флорида.
Он объяснил, что, поскольку криптомайнеры используют небольшую часть мощности многих устройств, службы безопасности часто игнорируют их.
«Криптоджекинг, несмотря на его рост, по-прежнему рассматривается многими организациями как простая неприятность, за которой не следят службы безопасности, поскольку у них есть много других вещей, за которыми нужно следить, а системы работают круглосуточно и без выходных. в любом случае ", — сказал он TechNewsWorld.
Часто службы безопасности не принимают мер, поскольку криптомайнинг на предприятии трудно обнаружить.
«Медленные или неповоротливые машины являются нормой для многих предприятий из-за раздутого программного обеспечения, а также из-за множества операций обнаружения угроз и автоматизированных обновлений, которые выполняются на них», — пояснил Пурандар Дас, генеральный директор и соучредитель Sotero, компании по защите данных. в Берлингтоне, штат Массачусетс
«Кроме того, нет никаких внешних признаков — кроме сетевой связи — очевидных для конечного пользователя», — сказал он TechNewsWorld.
Проблема с невозможностью пресечь криптомайнеров заключается в том, что криптовалюта, добытая в этих организациях, затем используется для финансирования другой гнусной деятельности преступных группировок или спонсируемых государством субъектов, утверждал Шредер.
Содержание статьи
Преимущества производительности
Выполнение задач безопасности в аппаратном модуле, как это делают Microsoft и Intel, дает значительные преимущества в производительности, отметил Дас.
«Процесс идентификации, основанный на использовании ресурсов и даже мониторинге ресурсов, происходит намного быстрее, чем с подходами, основанными на программном обеспечении», — сказал он.
«Что не менее важно, — продолжил он, — это устраняет необходимость в развертывании программного обеспечения, которое может содержать ошибки и потенциально иметь уязвимости».
Более того, Intel TDT дает защитникам системы понимание того, что происходит на заводе. Уровень ЦП, добавил Эрих Крон, защитник осведомленности о безопасности в KnowBe4, учебном центре по вопросам безопасности в Клируотере, штат Флорида
«Это затруднит криптоджекингам возможность сокрытия своей деятельности по сравнению с попытками сбора этой информации с помощью программных решений», — сказал он TechNewsWorld.
«В этом случае, — продолжил он, — TDC ищет аномальное поведение, которое в противном случае могло бы быть замаскировано вредоносным ПО под нормальную активность».
Выявление майнеров монет на центральном процессоре
Intel TDT применяет машинное обучение к аппаратной телеметрии низкого уровня, полученной непосредственно от модуля мониторинга производительности ЦП (PMU), для обнаружения «отпечатка пальца» выполнения вредоносного кода на "время выполнения с минимальными накладными расходами", — писал Сельварадж.
TDT использует богатый набор событий профилирования производительности, доступных в Intel SoC (система на кристалле), чтобы отслеживать и обнаруживать вредоносное ПО в конечной точке его выполнения (ЦП), продолжил он.
Это происходит независимо от методов обфускации, в том числе когда вредоносное ПО скрывается внутри виртуальных гостевых систем и не требует навязчивых методов, таких как внедрение кода или выполнение сложной интроспекции гипервизора, добавил он.
Дополнительного прироста производительности можно достичь, перенеся часть машинного обучения на интегрированный графический процессор (GPU) Intel.
Сельварадж объяснил, что технология TDT основана на сигналах телеметрии, поступающих непосредственно от PMU, устройства, которое записывает низкоуровневую информацию о производительности и характеристиках выполнения микроархитектур инструкций, обрабатываемых с помощью CPU.
Майнеры активно используют повторяющиеся математические операции, и эта активность регистрируется PMU, который запускает сигнал при достижении определенного порога использования.
Сигнал обрабатывается уровнем машинного обучения, который может распознавать след, создаваемый конкретным действием добычи монет. Поскольку сигнал исходит исключительно от использования ЦП, вызванного характеристиками исполнения вредоносного ПО, на него не влияют распространенные методы обхода защиты от вредоносных программ, такие как двоичная обфускация или полезные нагрузки только для памяти.
«Технология Intel TDT позволяет использовать машинное обучение для общего блокирования атак криптоджекинга на основе повторяющихся математических операций, выполняемых криптомайнерами», — пояснил Рохит Дхаманкар, вице-президент по продуктам анализа угроз компании Alert Logic, занимающейся безопасностью приложений и инфраструктуры в Хьюстоне.
«Этот подход не основан на индивидуальных сигнатурах, которые позволяют вредоносным программам криптоджекинга обходить традиционные антивирусные программы или программы обнаружения и реагирования на конечные точки», — сказал он TechNewsWorld.
Безагентное обнаружение вредоносных программ
Сельварадж добавил, что интегрированное решение TDT также может выявить майнеров, скрывающихся в незащищенных виртуальных машинах или других контейнерах.
«Защитник Microsoft для конечных точек может остановить саму виртуальную машину или сообщить о злоупотреблении виртуальной машиной, тем самым предотвращая распространение атаки, а также экономя ресурсы», — написал он.
«Это один шаг к безагентному обнаружению вредоносных программ, когда« защитник »может защитить актив от« злоумышленника », не используя ту же ОС», — добавил он.
Любые улучшения в выбросе майнеров монет из корпоративных систем будут приветствоваться службами безопасности, поскольку криптоджекинг очень сложно обнаружить.
«Криптоджекинг особенно скрытный по своей конструкции», — заметил Джош Смит, аналитик по безопасности из Nuspire Networks, поставщика управляемых услуг безопасности в Уоллд-Лейк, штат Мичиган.
«Майнеры стараются не шуметь, как атака программ-вымогателей, поскольку это противоречит интуиции и сокращает генерируемый доход», — сказал он TechNewsWorld.
«Криптоджекинг может быть основан на вредоносном ПО, когда код, выполняющий добычу, устанавливается непосредственно на машину жертвы — обычно доставляется через фишинговые электронные письма — или код, установленный на веб-сайтах. Когда пользователь взаимодействует с веб-сайтом, запускается скрипт выполняет добычу ", — пояснил он.
Большая проблема
Умелых добытчиков монет бывает очень трудно обнаружить, добавил Крон.
"Они могут бездействовать или ограничивать активность в то время, когда пользователи используют устройства, а затем увеличиваются в течение времени, например, в нерабочее время, когда пользователи вряд ли заметят проблемы с производительностью или повышенный шум, вызванный вентиляторами. отчаянно пытается охладить перегруженные системы ", — сказал он.
«В то время как программное обеспечение для криптоджекинга может вызывать зависание системы или перезагрузку при сильном нажатии, многие организации не рассматривают эти события как индикаторы взлома и не отслеживают использование ЦП на рабочих станциях в организации, что упрощает работу вредоносных программ. чтобы скрыть свою деятельность », — отметил он.
Он добавил, что по мере того, как стоимость криптовалюты продолжает расти, криптоджекинг становится все более привлекательным для киберпреступников, что приводит к большему количеству атак.
Однако, продолжил он, более серьезная проблема с криптоджекингом заключается в том, что вредоносное ПО часто присутствует не только на устройствах.
«Это может быть частью более крупного заражения, которое может включать в себя банковских троянов, программ для кражи паролей и даже программ-вымогателей», — сказал он. «Если злоумышленники могут получить вредоносное ПО для криптоджекинга в системах, они могут получить и другие вредоносные программы». 
