Windows 10 peut désormais détecter les malware de cryptojacking qui utilisent la puissance de votre processeur
Microsoft s’est associé à Intel pour tenter de bloquer les logiciels malveillants de cryptomining qui drainent votre processeur en intégrant Intel Threat Detection Technology (TDT) à Microsoft Defender for Endpoint, le service de sécurité pour les pros basé sur le cloud computing, anciennement connu sous le nom de Microsoft Defender Advanced Threat Protection.
En exploitant des vulnérabilités telles que les récentes failles du serveur Exchange de Microsoft, les cybercriminels peuvent exploiter une grande quantité de puissance de calcul pour extraire des crypto-monnaies aux dépens d’autrui. Si l’on ajoute à cela la montée en flèche des prix du Bitcoin, du Monero, de l’Ethereum et du Dogecoin, les attaquants ont tout intérêt à s’attaquer aux puissants serveurs d’entreprise.
La nouvelle fonction de sécurité de Microsoft et d’Intel cible les logiciels malveillants qui opèrent au niveau du processeur, sous le système d’exploitation, là où les antivirus traditionnels fonctionnent. Elle s’appuie sur un précédent partenariat avec Intel pour faire face à la montée des logiciels malveillants en mémoire.
Surveiller l’exécution de code de logiciel malveillant au moment de l’exécution
“Intel TDT applique l’apprentissage automatique à la télémétrie matérielle de bas niveau provenant directement de l’unité de contrôle des performances du processeur (PMU – performance monitoring unit) afin de détecter l'”empreinte” de l’exécution du code malveillant au moment de l’exécution avec une surcharge minimale”, explique Microsoft dans un billet de blog. “TDT exploite un riche ensemble d’événements de profilage des performances disponibles dans les SoC (systèmes sur puce) d’Intel pour surveiller et détecter les logiciels malveillants à leur point d’exécution final (le CPU).”
Le système TDT sur Windows fonctionne avec des machines équipées d’Intel Core 6e génération et de la plateforme Intel vPro.
La fonctionnalité analyse les données de télémétrie PMU du CPU, car les mineurs de monnaie visent à obtenir des récompenses en crypto-monnaie en résolvant des équations mathématiques qui font partie de la blockchain, qui sous-tend la crypto-monnaie. Tout cela nécessite des ressources CPU.
Cette technologie pourrait être fort pratique car elle peut surveiller l’exécution de code de logiciel malveillant au moment de l’exécution, même lorsque le logiciel malveillant est caché dans un invité virtualisé.
“Aucun produit ou composant ne peut être absolument sûr”
“Les mineurs de monnaie font un usage intensif d’opérations mathématiques répétées et cette activité est enregistrée par le PMU, qui déclenche un signal lorsqu’un certain seuil d’utilisation est atteint”, explique Microsoft. “Le signal est traité par une couche d’apprentissage automatique qui peut reconnaître l’empreinte générée par l’activité spécifique du minage de pièces. Étant donné que le signal provient exclusivement de l’utilisation du processeur, causée par les caractéristiques d’exécution des logiciels malveillants, il n’est pas affecté par les techniques d’évasion antimalware courantes, telles que l’obfuscation binaire ou les charges utiles uniquement en mémoire.”
Microsoft ajoute qu’il améliore également les capacités de détection des attaques par canal latéral et des ransomwares.
Intel a ajouté une note intéressante à son annonce au sujet de la collaboration entre TDT et Microsoft : “Aucun produit ou composant ne peut être absolument sûr”.
“Un véritable point d’inflexion pour l’industrie de la sécurité”
Néanmoins, Michael Nordquist, directeur principal de la planification stratégique et de l’architecture au sein du Business Client Group d’Intel, a déclaré qu’il s’agissait d'”un véritable point d’inflexion pour l’industrie de la sécurité” et pour les clients utilisant Windows 10.
“Les clients qui choisissent Intel vPro avec le bouclier matériel exclusif d’Intel bénéficient désormais d’une visibilité complète de la pile pour détecter les menaces dès la sortie de la boîte, sans avoir besoin de configuration informatique”, a-t-il déclaré.
Frank Dickson, vice-président chargé des programmes de sécurité et de confiance au cabinet d’analyse IDC, a ajouté : “L’objectif est clairement de permettre aux systèmes basés sur Intel d’aujourd’hui et de demain d’être fondamentalement plus sûrs et d’avoir des taux d’infection par des logiciels malveillants inférieurs à ceux des systèmes basés sur des processeurs AMD, Apple et autres ARM.”
Source : “ZDNet.com”
