Windows 10: Microsoft verbessert Schutz vor Cryptojacking-Malware

Microsoft hat Intels Threat Detection Technology (TDT) in Microsoft Defender for Endpoint integriert. Windows 10 ist somit in der Lage, Schadsoftware auf CPU-Ebene zu blockieren, die vor allem zum Schürfen von Kryptowährungen benutzt wird.

Defender for Endpoint, vormals Defender Advanced Threat Protection, ist Microsofts cloudbasierter Sicherheitsdienst für Unternehmen. Durch die Zusammenarbeit mit Intel kann Windows nun auch auf CPU-Ebene bestimmte Malware erkennen, wo sie vor traditioneller Antivirensoftware verborgen bleibt.

“Intel TDT wendet maschinelles Lernen auf Low-Level-Hardware-Telemetrie an, die direkt von der CPU-Leistungsüberwachungseinheit (PMU) stammt, um den ‘Fingerabdruck’ der Malware-Code-Ausführung mit minimalem Overhead zu erkennen”, teilte Microsoft mit. ” DT nutzt einen umfangreichen Satz von Performance-Profiling-Ereignissen, die in Intel-SoCs (System-on-a-Chip) verfügbar sind, um Malware an ihrem endgültigen Ausführungspunkt (der CPU) zu überwachen und zu erkennen.”

Cryptojacking-Malware führt zum Schürfen von Kryptowährungen vor allem mathematische Berechnungen durch, die zur Blockchain gehören. Die dafür benötigten CPU-Ressourcen wiederum hinterlassen Spuren in den PMU-Telemetriedaten der CPU. Die Technik offenbart aber nicht nur Cryptominer, sondern auch die Ausführung von Schadcode, wenn dieser in einem virtualisierten Gastsystem versteckt wird.

“Coin-Miner machen regen Gebrauch von wiederholten mathematischen Operationen und diese Aktivität wird von der PMU aufgezeichnet, die ein Signal auslöst, wenn eine bestimmte Nutzungsschwelle erreicht wird”, ergänzte Microsoft. Per Machine Learning sei es möglich, spezifische Aktivitäten des Coin-Minings zu erkennen. Zudem verbessere TDT auch die Erkennung von Side-Channel-Attacken und Ransomware.

TDT benötigt Windows-Systeme, die mindestens mit Intel-Core-Prozessoren der sechsten Generation sowie Intel vPro ausgestattet sind. In seiner eigenen Ankündigung der Zusammenarbeit mit Microsoft wies Intel jedoch darauf hin, dass “kein Produkt oder Komponente absolut sicher sein kann”.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Remote Access Trojaner über gefälschte Webseite der BW-Landesregierung

PowerShell-RAT nimmt Personen ins Visier, die Informationen über die aktuelle Lage in der Ukraine suchen.

7 Stunden ago

Angespannte Risikolage verunsichert deutsche Unternehmen stark

Zahl der "Cyber-Experten" in Deutschland sinkt um 17 Prozentpunkte auf 3 Prozent. Ein Viertel des…

7 Stunden ago

Zyxel schließt schwer- wiegende Lücke in VPN- und Firewall-Produkten

Sie erlaubt eine Remotecodeausführung. Eine vorherige Authentifizierung ist nicht erforderlich. Zyxel veröffentlicht seinen Patch stillschweigend.

11 Stunden ago

Wissen, was in intelligenten Produktionsanlagen drin steckt

IT-Experten fordern eine Bill of Materials (SBOM) für Gerätesoftware.

12 Stunden ago

Cyber-Versicherungen: Nachfrage übersteigt Angebot

Wer sich an den Sicherheitsvorgaben der Cyber-Versicherer orientiert, kann als Unternehmen sein Cyber-Risiko noch abdecken,…

13 Stunden ago

Nicht-IT-Beschäftigte sind erhebliches Risiko für Unternehmen

Laut IT-Führungskräften sind nicht-technische Mitarbeiter schlecht auf einen Cyberangriff vorbereitet.

13 Stunden ago