微软宣布使用Intel TDT技术检测挖矿木马

微软宣布其商业版反病毒软件Microsoft Defender for Endpoint开始利用英特尔的威胁检测技术（TDT）来阻止挖掘加密货币的恶意软件滥用失陷主机的计算资源。

英特尔威胁检测技术（TDT）可以和安全软件共享启发式检测和遥测技术，安全软件可以使用这些书检测与恶意代码相关的行为活动。TDT技术会利用机器学习来分析CPU的性能监视单元（PMU）产生的低级硬件遥测数据，在运行时检测恶意软件执行的“指纹”。TDT技术在任何支持Intel vPro技术的第六代与后续高版本的Intel CPU中都会得到支持。

微软将将英特尔威胁检测技术（TDT）集成到Microsoft Defender for Endpoint中，该功能可以增强对加密货币矿工的检测能力。TDT技术可以利用Intel芯片中的性能分析工具来监视和检测恶意软件的执行行为，TDT技术可以将机器学习推断过程进一步转移到集成的GPU中，从而可以以很小的开销进行持续的监控。

Microsoft Defender TDT 2

微软的安全专家指出，加密货币矿工会大量使用由PMU监视的重复数学计算。当恶意软件的算力达到某个阈值时，PMU就会生成预警信号，由机器学习引擎进行分析，确定该活动是否与加密货币矿工相关。

该预警信号与加密货币矿工的执行特性相关，不受其他CPU利用率高的程序的影响，也不受恶意软件常用的反分析技术（例如代码混淆或内存解密等手段）的影响。这种技术对使用复杂检测逃避技术的恶意软件非常有用，还可用于检测虚拟机/容器逃逸的恶意代码的活动。

“当组织希望聚焦安全能力建设时，我们致力于基于内置平台的安全防护，提供一种最佳的、精简的解决方案。微软与业界的OEM、技术合作伙伴进行合作，微软也保持与芯片制造商的紧密合作，探索基于硬件的防御能力提供抵御网络威胁的能力”。