Microsoft Defender ดักจับมัลแวร์แอบขุดเหมืองได้แล้ว ดูจากพฤติกรรมของซีพียู

ไมโครซอฟท์ร่วมกับอินเทล ออกฟีเจอร์ใหม่ให้ Microsoft Defender for Endpoint (บริการแบบเสียเงิน) สามารถตรจจับสคริปต์หรือมัลแวร์ขุดเหมือง (cryptojacking) ในเครื่องเราได้แล้ว แม้ว่ามัลแวร์พยายามซ่อนตัวอย่างแนบเนียนอยู่ใน VM ก็ตาม

วิธีการตรวจจับจำเป็นต้องใช้ฟีเจอร์ฝั่งฮาร์ดแวร์ Intel Threat Detection Technology (TDT) ที่เปิดตัวในปี 2018 โดยซีพียูอินเทลที่มี TDT มีหน่วยมอนิเตอร์ประสิทธิภาพซีพียู performance monitoring unit (PMU) ทำงานแยกต่างหาก คอยส่งข้อมูลการทำงานของซีพียูในระดับล่าง (low-level) มาให้

ฝั่ง Microsoft Defender จะนำข้อมูลจาก PMU มาวิเคราะห์ ซึ่งไมโครซอฟท์บอกว่าการขุดเหมืองมักมีพฤติกรรมการคำนวณเป็นแพทเทิร์นซ้ำๆ กัน ที่ machine learning สามารถเรียนรู้และดักจับได้

เทคนิคนี้สามารถใช้ได้กับซีพียู Intel Core 6th Gen ขึ้นไป โดยไม่ต้องทำอะไรเพิ่มเติม (ยกเว้นจ่ายเงินค่า Microsoft Defender for Endpoint)

No Description

ที่มา – Microsoft

from:https://www.blognone.com/node/122400