暗号通貨のマイニングは、かつて迷惑行為に過ぎず、マシンのリソースを浪費する比較的穏やかな活動であると考えられていましたが、近年増加しています。暗号通貨マイニング活動のこの増加は、ビットコインなどの暗号通貨の価値の上昇、さまざまな種類の暗号通貨 (イーサリアム、ライトコイン、ドージコイン) の人気の高まり、およびこれらの市場のボラティリティによって引き起こされます。暗号通貨の価格が上昇するにつれて、多くの日和見攻撃者はランサムウェアよりもクリプトジャッキングを使用することを好むようになりました。攻撃者がコイン マイナーをマルウェア キャンペーンのペイロードとして展開するため、組織のリスクは増大しています。 Avira Protection Labs の最近の調査によると、2020 年第 3 四半期と比較して、2020 年第 4 四半期のコイン マイナー マルウェア攻撃は 53% 増加しました。
さらに、典型的なマルウェア対策防御を回避するためにマルウェアが長年にわたって進化しているため、コイン マイナーの検出はますます困難になっています。
このように脅威が増大しているため、Microsoft と Intel は提携して、シリコンベースの脅威検出を使用して Microsoft Defender for Endpoint のエンドポイント検出と応答 (EDR) 機能を有効にし、マルウェアが難読化されている場合でも暗号通貨マイニング マルウェアをより適切に検出するテクノロジを提供してきました。セキュリティ ツールを回避しようとします。
Microsoft Defender for Endpoint の Intel Threat Detection Technology
本日、Microsoft Defender for Endpoint へのIntel Threat Detection Technology (TDT) の統合を発表します。これは、クリプトジャッキング マルウェアに対する検出機能と保護を強化する追加機能です。これは、Intel の Accelerated Memory Scanning を Defender と統合するための既存のパートナーシップと以前のコラボレーションに基づいています。
図 1: Microsoft Defender for Endpoint からの CoinMiner アラート。
Intel TDT は、CPU パフォーマンス モニタリング ユニット (PMU) から直接供給される低レベルのハードウェア テレメトリに機械学習を適用し、実行時に最小限のオーバーヘッドでマルウェア コード実行の「フィンガープリント」を検出します。 TDT は、Intel SoC (システム オン チップ) で利用可能なパフォーマンス プロファイリング イベントの豊富なセットを活用して、最終的な実行ポイント (CPU) でマルウェアを監視および検出します。これは、コード インジェクションや複雑なハイパーバイザー イントロスペクションの実行などの侵入的な手法を必要とせずに、マルウェアが仮想化されたゲスト内に隠れる場合など、難読化手法に関係なく発生します。 TDT は、機械学習の推論を統合グラフィックス プロセッシング ユニット (GPU) にさらにオフロードし、ごくわずかなオーバーヘッドで継続的な監視を可能にします。現在の展開でパフォーマンスの問題は確認されていませんが、近い将来、Intel TDT の GPU オフロード機能を有効にする予定です。
このテクノロジーは、CPU によって処理される命令のパフォーマンスとマイクロアーキテクチャの実行特性に関する低レベルの情報を記録するユニットである PMU から直接送信されるテレメトリ信号に基づいています。コイン マイナーは繰り返される数学的演算を多用し、このアクティビティは PMU によって記録され、特定の使用しきい値に達すると信号がトリガーされます。信号は、コインマイニングの特定の活動によって生成されたフットプリントを認識できる機械学習のレイヤーによって処理されます。信号は、マルウェアの実行特性に起因する CPU の使用率からのみ発生するため、バイナリ難読化やメモリのみのペイロードなどの一般的なマルウェア対策回避技術の影響を受けません。
図 2: Intel TDT と Microsoft Defender がマルウェアを検出して修復する方法を示す図。
このテクノロジーは暗号通貨マイニング専用に有効化されていますが、サイドチャネル攻撃やランサムウェアなどのより攻撃的な脅威を検出する範囲が広がります。インテル TDT には、このようなシナリオに対応する機能が既に備わっており、機械学習をトレーニングして、これらの攻撃ベクトルを認識することができます。
図 3: Intel TDT と Microsoft Defender がマルウェアを検出します。ユーザーは、Windows セキュリティ通知を介して脅威について通知されます。
図 4: CoinMiner の脅威がブロックされたことを示す Windows のセキュリティ保護履歴。 Intel TDT と Microsoft Defender で検出されました。
このテクノロジには、追加の投資、IT 構成、またはエージェントのインストールは必要ありません。 Microsoft Defender for Endpoint および Intel TDT 統合ソリューションは、Intel® Core™ プロセッサおよび Intel vPro® でネイティブに動作します。 プラットフォーム、 第 6 世代以降。
この検出機能に使用される主な信号はハードウェア (Intel CPU) から直接送られるため、保護されていない仮想マシンやその他のコンテナー内で実行されているコイン マイナーを検出できます。このデモ ビデオでは、このようなシナリオで Microsoft Defender for Endpoint が仮想マシン自体を停止したり、仮想マシンの悪用を報告したりして、攻撃の拡散を防ぎ、リソースを節約する方法を紹介しています。これは、エージェントレスのマルウェア検出に向けた 1 つのステップであり、「プロテクター」は同じ OS にいる必要なく「攻撃者」から資産を保護できます。
より多くのサポート対象プラットフォームでテクノロジーを有効にするにつれて、貴重な機械学習テレメトリーが戻ってきて、既存のモデルに情報を提供し、より効果的かつ効果的にします。
組織がセキュリティへの投資を簡素化しようとしているとき、私たちは組み込みのプラットフォーム ベースのセキュリティ テクノロジに注力し、防御側がセキュリティを強化して組織を保護できるようにする、最善の組み合わせで合理化されたソリューションを提供します。このパートナーシップは、相手先ブランド供給 (OEM) およびテクノロジ パートナーとのコラボレーションに対する Microsoft の投資の一環です。私たちはチップメーカーと緊密に協力して、ハードウェアベースの防御強化の新しい可能性を常に模索し、サイバー脅威に対する堅牢で回復力のある保護を提供しています。
もっと詳しく知る
詳細については、 Intel の News Byteをお読みください。
Microsoft Defender for Endpoint は、脆弱性管理、エンドポイント保護、エンドポイントの検出と対応、およびモバイル脅威防御を提供する、業界をリードするクラウドを利用したエンドポイント セキュリティ ソリューションです。私たちのソリューションでは、脅威は敵ではありません。 Microsoft の比類のない脅威オプティクスと実績のある機能をまだ利用していない場合は、今すぐ Microsoft Defender for Endpoint の無料試用版にサインアップしてください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
アミトラジット・バナジー、アンドレア・レリ、ゴーサム・アニミ・レディ、カーシック・セルバラジ、ケルビン・チャン、シュエタ・ジャー
エンドポイント チームの Microsoft Defender
Comments