微软于本周宣布,将与英特尔(Intel)联手对抗挖矿恶意程序,于Microsoft Defender for Endpoint中集成英特尔的威胁侦测技术(Threat Detection Technology,TDT),以期更有效地侦测与防堵可能耗尽企业资源的挖矿恶意程序。
TDT为英特尔在2018年所发布的芯片安全机制,主要的两大功能分别为加速内存扫描(Accelerated Memory Scanning)与先进平台遥测(Advanced Platform Telemetry)。其中,前者是利用集成绘图处理器来进行恶意程序的扫描,当时就被集成在微软的Microsoft Windows Defender Advanced Threat Protection中,后者则是结合平台遥测与机器学习算法,来改善先进威胁的侦测能力。
当年正值勒索软件正流行的时代,也让英特尔强调TDT用来侦测勒索软件的能力,然而,随着挖矿恶意程序的兴盛,英特尔与微软把TDT的应用目标转至挖矿程序。
微软解释,Intel TDT是把机器学习应用在针对CPU性能监控单元(Performance Monitoring Unit,PMU)的低端硬件遥测,以最少的资源来侦测恶意程序的执行指纹,还能将机器学习的推测转移到GPU,继续以极少的资源进行侦测。
该技术是基于来自PMU的遥测信号,PMU记录着CPU指令的微架构执行特征与性能,而加密货币的矿工会大量使用重复的数学运算,它们同样也会被PMU记录,当到达一定的使用阈值时,便会触发信号。
图片来源/微软
微软与英特尔是特别为了挖矿程序设计了上述技术,但微软强调,即便如此,它还是能侦测到诸如旁路攻击或勒索软件等威胁。
事实上,与其它恶意程序相较,挖矿程序所带来的危害相对轻微,它只是会耗尽企业的硬件资源,然而,比特币的价格不断飙升,再加上其它加密货币的欣欣向荣,让挖矿恶意程序的数量大增,而让企业不堪其扰。根据安全企业Avira的调查,挖矿恶意程序在去年第四季的攻击数量,比第三季增加了53%。
为了不让企业资产沦为黑客的挖矿工具,微软决定强化Microsoft Defender for Endpoint的能力,改善挖矿程序的侦测与封锁功能,而且宣称企业不需额外投资、也不需特别配置或安装代理人就能使用,该集成微软与英特尔技术的功能,兼容于Intel Core处理器以及第六代或之后的Intel vPro平台。