Se está integrando una potente tecnología de detección de amenazas basada en hardware en los productos de seguridad empresarial de Microsoft para ayudar a proteger a las empresas del malware de criptojacking.
Karthik Selvaraj, director de investigación principal del equipo de investigación de Microsoft 365 Defender, anunció la iniciativa en una publicación de blog el lunes para integrar la tecnología de detección de amenazas de Intel con Microsoft Defender para Endpoint.
«El enfoque de Microsoft es un buen paso», comentó Dirk Schrader, vicepresidente global de Microsoft. nueva tecnología de redes un proveedor de software de cumplimiento y seguridad de TI con sede en Naples, Florida.
Explicó que debido a que los mineros de criptomonedas solo utilizan un pequeño subconjunto de las capacidades de muchos dispositivos, los equipos de seguridad a menudo los pasan por alto.
«A pesar del aumento del criptojacking, muchas organizaciones todavía lo ven como una molestia y los equipos de seguridad realmente no se mantienen al día porque tienen muchas otras cosas con las que mantenerse al día y los sistemas funcionan las 24 horas del día, los 7 días de la semana, independientemente», dijo. TechNewsWorld.
A menudo, los equipos de seguridad no toman medidas de seguimiento porque la minería de criptomonedas es difícil de detectar en las empresas.
«Las máquinas lentas o lentas se han convertido en la norma en muchas empresas debido al software inflado y a la necesidad de realizar una detección exhaustiva de amenazas y actualizaciones automáticas en las máquinas». soterouna empresa de protección de datos con sede en Burlington, Massachusetts.
«No hay señales externas obvias para el usuario final aparte de las comunicaciones de red», dijo a TechNewsWorld.
Schrader cree que el problema de no frustrar a los mineros de criptomonedas es que las criptomonedas extraídas por estos grupos son luego utilizadas por grupos criminales o actores patrocinados por el estado para financiar otras actividades nefastas.
Ventajas de rendimiento
Das señaló que existen importantes ventajas de rendimiento al realizar tareas de seguridad en módulos de hardware, como lo hacen Microsoft e Intel.
«El proceso de identificación basado en la utilización de recursos o incluso en el monitoreo de recursos es mucho más rápido que los métodos basados en software», afirmó.
«Lo que es igualmente importante», continuó, «elimina la necesidad de implementar software que puede ser defectuoso y contener vulnerabilidades».
Además, Intel TDT ofrece a los encargados del mantenimiento del sistema información sobre lo que sucede en la capa de CPU, añadió el defensor de la seguridad Erich Kron. Conozca Be4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.
«Esto hará que a los criptojackers les resulte más difícil ocultar sus actividades que intentar recopilar esta información a través de soluciones de software», dijo a TechNewsWorld.
«En este caso», continuó, «TDC busca comportamientos anómalos que, de otro modo, el malware podría disfrazar como actividad normal».
Capturando mineros de monedas en la CPU
Selvaraj escribió que Intel TDT aplica el aprendizaje automático a la telemetría de hardware de bajo nivel directamente desde la Unidad de Monitoreo del Rendimiento de la CPU (PMU) para detectar «huellas dactilares» de ejecución de código malicioso en tiempo de ejecución con una sobrecarga mínima.
Continuó diciendo que TDT aprovecha los ricos eventos de análisis de rendimiento disponibles en los SoC (sistemas en un chip) de Intel para monitorear y detectar malware en el punto de ejecución final (CPU).
Añadió que esto ocurre independientemente de la técnica de ofuscación utilizada, incluso cuando el malware está oculto dentro de un invitado virtual y no requiere técnicas de intrusión como la inyección de código o la realización de una compleja introspección del hipervisor.
Se pueden lograr mejoras de rendimiento adicionales descargando parte del aprendizaje automático a la unidad de procesamiento de gráficos (GPU) integrada de Intel.
Selvaraj explicó que la tecnología TDT se basa en señales de telemetría provenientes directamente de la PMU, que registra información de bajo nivel sobre el desempeño de las instrucciones procesadas por la CPU y las características de ejecución de la microarquitectura.
Los mineros de monedas hacen un uso extensivo de operaciones matemáticas repetitivas, y esta actividad es registrada por la PMU, que activa una señal cuando se alcanza un cierto umbral de uso.
Esta señal es procesada por una capa de aprendizaje automático que puede identificar las huellas producidas por actividades específicas de la minería de monedas. Debido a que la señal proviene enteramente del uso de la CPU causado por las características de ejecución del malware, no se ve afectada por técnicas comunes de evasión antimalware, como la ofuscación binaria o las cargas útiles de solo memoria.
«La TDT de Intel permite el uso del aprendizaje automático para bloquear universalmente ataques de cryptojacking basados en operaciones matemáticas repetidas realizadas por criptomineros», explicó Rohit Dhamankar, vicepresidente de Threat Intelligence Products. Lógica de alertauna empresa de seguridad de infraestructura y aplicaciones con sede en Houston.
«Este enfoque no se basa en firmas individuales que permiten que el malware de criptojacking evada el antivirus tradicional o el software de respuesta y detección de terminales», dijo a TechNewsWorld.
Detección de malware sin agentes
Selvaraj añadió que las soluciones de integración TDT también pueden exponer a los mineros de monedas ocultos en máquinas virtuales u otros contenedores desprotegidos.
«Microsoft Defender for Endpoint puede detener la máquina virtual o informar sobre abusos en la máquina virtual, evitando que los ataques se propaguen y conservando recursos», escribió.
«Este es un paso hacia la detección de malware sin agentes, donde los ‘protectores’ pueden proteger los activos de los ‘atacantes’ sin estar en el mismo sistema operativo», añadió.
Cualquier mejora que saque a los mineros de monedas de los sistemas empresariales será bienvenida por los equipos de seguridad, ya que el criptojacking es difícil de detectar.
«El criptojacking es muy sigiloso por diseño», dijo Josh Smith, analista de seguridad de Nuspire Networks, un proveedor de servicios de seguridad gestionados en Walled Lake, Michigan.
«Los mineros intentan no hacer ruido como los ataques de ransomware porque es contradictorio y reduce los ingresos», dijo a TechNewsWorld.
«El criptojacking puede basarse en malware, donde el código que realiza la minería se instala directamente en la computadora de la víctima (a menudo entregado a través de un correo electrónico de phishing) o en un código instalado en un sitio web. Cuando un usuario interactúa con un sitio web, se ejecuta un script para realizar el minería», explicó.
problema mayor
Los mineros de monedas expertos son difíciles de detectar, añadió Kron.
«Pueden hibernar o suprimir la actividad mientras el usuario usa el dispositivo y luego aumentar la actividad durante ciertos períodos, como después del trabajo, cuando es menos probable que los usuarios noten problemas de rendimiento, o causar un mayor ruido cuando los ventiladores lo intentan desesperadamente. Genial. un sistema sobrecargado de trabajo», dijo.
«Si bien el software de criptojacking puede provocar que un sistema se bloquee o se reinicie cuando se presiona con fuerza, muchas organizaciones no ven estos eventos como indicadores de compromiso y no monitorean el uso de CPU de las estaciones de trabajo dentro de la organización, lo que hace que el malware oculte aún más fácilmente su comportamiento agresivo. .Actividades”, anotó.
Agregó que a medida que los valores de las criptomonedas continúan aumentando, el cryptojacking se vuelve más atractivo para los ciberdelincuentes, lo que genera más ataques.
Sin embargo, continuó, el mayor problema con el cryptojacking es que el malware generalmente no existe solo en el dispositivo.
«Podría ser parte de una infección mayor, que podría incluir troyanos bancarios, ladrones de contraseñas o incluso ransomware», afirmó. «Si un atacante puede obtener malware de criptojacking en un sistema, también puede obtener otro malware allí».
