Microsoft e Intel se unen para tomar medidas drásticas contra los criptomineros

 cryptojacking "src =" http://www.technewsworld.com/article_images/story_graphics_xlarge/xl-2021-cryptojacking-1.jpg "width =" 620 "height =" 360 "border =" 0 "> [19659002] Se está integrando una poderosa tecnología de detección de amenazas basada en hardware en un producto de seguridad empresarial de Microsoft para ayudar a proteger a las empresas del malware de criptojacking. </p>
<p> La medida, que integra la tecnología Intel Threat Detection Technology con Microsoft Defender para Endpoint, se anunció el lunes en un blog. escrito por Karthik Selvaraj, director de investigación principal del equipo de investigación Defender de Microsoft 365. </p>
<p> "El enfoque de Microsoft es un buen movimiento", observó Dirk Schrader, vicepresidente global de <a class= New Net Technologies a Naples, Florida. proveedor de software de cumplimiento y seguridad de TI.

Explicó que, dado que los criptomineros utilizan una pequeña fracción de la potencia de muchos dispositivos, los equipos de seguridad a menudo los ignoran.

"El criptojacking, a pesar de su aumento, es todavía visto como un una simple molestia para muchas organizaciones, algo que los equipos de seguridad no siguen realmente, ya que tienen muchas otras cosas con las que mantenerse al día y los sistemas funcionan las 24 horas del día, los 7 días de la semana, de todos modos ", dijo a TechNewsWorld.

A menudo, no hay seguimiento por parte de los equipos de seguridad porque la criptominería puede ser difícil de detectar en la empresa.

"Las máquinas lentas o lentas son la norma en muchas empresas debido al software inflado y también debido a la detección de amenazas y las actualizaciones automáticas que se realizan en ellas ", explicó Purandar Das, director ejecutivo y cofundador de Sotero una empresa de protección de datos en Burlington, Mass.

" Además, no hay señales externas, aparte de la comunicación de red, aparentes para el usuario final. ", le dijo a TechNewsWorld.

El problema de no frustrar a los criptomineros es que la criptomoneda extraída en estas organizaciones se usa para financiar otras actividades nefastas por bandas criminales o actores patrocinados por el estado, Schrader principal contenido.

Ventajas de rendimiento

La ejecución de tareas de seguridad en un módulo de hardware, como lo están haciendo Microsoft e Intel, tiene ventajas de rendimiento significativas, señaló Das.

"El proceso de identificación basado en la utilización de recursos e incluso el monitoreo de recursos es mucho más rápido que con los enfoques basados ​​en software ", dijo.

" Lo que es igualmente importante ", continuó," elimina la necesidad de implementar software que puede tener errores y potencialmente presentar vulnerabilidades ".

Es más, Intel TDT le da al sistema información de los defensores sobre lo que está sucediendo en la capa de CPU, agregó Erich Kron, defensor de la conciencia de seguridad en KnowBe4 un proveedor de capacitación en conciencia de seguridad en Clearwater, Florida

"Esto hará que sea más difícil para los criptojackers esconderse sus actividades, en lugar de intentar recopilar esta información a través de soluciones de software ", dijo a TechNewsWorld.

" En este caso ", continuó," TDC está buscando un comportamiento anormal que de lo contrario, el malware lo disfraza de actividad normal ".

Captura de mineros de monedas en la CPU

Intel TDT aplica el aprendizaje automático a la telemetría de hardware de bajo nivel obtenida directamente de la unidad de supervisión del rendimiento de la CPU (PMU) para detectar la "huella digital" de ejecución del código de malware en tiempo de ejecución con una sobrecarga mínima, escribió Selvaraj.

TDT aprovecha un amplio conjunto de eventos de perfiles de rendimiento disponibles en Intel SoC (sistema en un chip) para monitorear y detectar malware en su punto de ejecución final (la CPU), continuó.

Esto sucede independientemente de las técnicas de ofuscación, incluso cuando el malware se esconde dentro de los invitados virtualizados y sin necesidad de técnicas intrusivas como la inyección de código o la realización de una introspección compleja del hipervisor, agregó.

Se pueden lograr ganancias de rendimiento adicionales descargando algo de aprendizaje automático en la unidad de procesamiento de gráficos integrada de Intel ( GPU).

Selvaraj explicó que la tecnología TDT se basa en señales de telemetría que provienen directamente de la PMU, t La unidad que registra información de bajo nivel sobre el rendimiento y las características de ejecución de la microarquitectura de las instrucciones procesadas por la CPU.

Los mineros de monedas hacen un uso intensivo de operaciones matemáticas repetidas y esta actividad es registrada por la PMU, que activa una señal cuando se usa un cierto uso

La señal es procesada por una capa de aprendizaje automático que puede reconocer la huella generada por la actividad específica de minería de monedas. Dado que la señal proviene exclusivamente de la utilización de la CPU, causada por las características de ejecución del malware, no se ve afectada por las técnicas de evasión antimalware comunes, como la ofuscación binaria o las cargas útiles de solo memoria.

"La TDT de Intel permite el uso del aprendizaje automático para bloquean genéricamente los ataques de criptojacking basados ​​en operaciones matemáticas repetidas realizadas por criptomineros ", explicó Rohit Dhamankar, vicepresidente de productos de inteligencia de amenazas en Alert Logic una empresa de seguridad de aplicaciones e infraestructura en Houston.

" Este enfoque no no dependa de firmas individuales que permitan al malware de criptojacking evadir el antivirus tradicional o el software de detección y respuesta de terminales ", dijo a TechNewsWorld.

Detección de malware sin agentes

Selvaraj agregó que la solución integrada TDT también puede exponer a los mineros de monedas que se esconden en máquinas virtuales desprotegidas u otros contenedores.

"Microsoft Defender para Endpoint puede detener la máquina virtual en sí o informar el abuso de la máquina virtual , evitando así la propagación de un ataque y ahorrando recursos ", escribió.

" Este es un paso hacia la detección de malware sin agentes, donde el 'protector' puede proteger el activo del 'atacante' sin tener que estar en el mismo sistema operativo ", agregó.

Los equipos de seguridad agradecerán cualquier mejora en la eliminación de los mineros de monedas de los sistemas empresariales, ya que el cryptojacking puede ser muy difícil de detectar.

" El cryptojacking es particularmente sigiloso por diseño ", observó Josh Smith, analista de seguridad de Nuspire Networks, un proveedor de servicios de seguridad administrados en Walled Lake, Michigan.

"Los mineros de monedas intentan no hacer ningún ruido como un ataque de ransomware, ya que sería contrario a la intuición nd reduciría los ingresos generados ", dijo a TechNewsWorld.

" El cryptojacking puede basarse en malware, donde el código que realiza la extracción se instala directamente en la máquina víctima, generalmente entregado a través de correos electrónicos de phishing, o código instalado en sitios web . Cuando un usuario interactúa con el sitio web, se ejecuta un script para realizar la extracción ", explicó.

Problema más grande

Los mineros de monedas hábiles pueden ser muy difíciles de detectar, agregó Kron.

" Pueden permanecer inactivos o acelerados Retrocede la actividad durante los momentos en que los usuarios utilizan los dispositivos y luego aumenta durante momentos, como fuera del horario de atención, cuando es probable que los usuarios no noten los problemas de rendimiento o el aumento del ruido causado por los ventiladores que intentan desesperadamente enfriar los sistemas con exceso de trabajo ", dijo.

"Si bien el software de criptojacking puede causar bloqueos o reinicios del sistema cuando se presiona con fuerza, muchas organizaciones no ven estos eventos como indicadores de compromiso, ni monitorean el uso de CPU de las estaciones de trabajo dentro de la organización, lo que facilita la el malware para ocultar sus actividades ", señaló.

Agregó que a medida que los valores de las criptomonedas continúan aumentando, el cryptojacking se vuelve más atractivo para los ciberdelincuentes, lo que lleva a más ataques.

Sin embargo, él c Continuando, el mayor problema con el cryptojacking es que el malware a menudo no está solo en los dispositivos.

"Puede ser parte de una infección mayor que puede incluir troyanos bancarios, ladrones de contraseñas e incluso ransomware", dijo. "Si los atacantes pueden obtener malware de criptojacking en los sistemas, también pueden obtener otro malware allí".


Leave a Reply

Your email address will not be published. Required fields are marked *