Microsoft e Intel se unen para tomar medidas drásticas contra los criptomineros | La seguridad cibernética


Por John P. Mello Jr.

28 de abril de 2021 4:00 a. M. (Hora del Pacífico)

Se está integrando una poderosa tecnología de detección de amenazas basada en hardware en un producto de seguridad empresarial de Microsoft para ayudar a proteger a las empresas del malware de criptojacking.

La medida, que integra la tecnología Intel Threat Detection Technology con Microsoft Defender para Endpoint, se anunció el lunes en un blog escrito por Karthik Selvaraj, director de investigación principal del equipo de investigación Defender de Microsoft 365.

“El enfoque de Microsoft es un buen movimiento”, observó Dirk Schrader, vicepresidente global de Nuevas tecnologías de red, un proveedor de software de cumplimiento y seguridad de TI con sede en Naples, Florida.

Explicó que, dado que los criptomineros utilizan una pequeña fracción de la potencia de muchos dispositivos, los equipos de seguridad a menudo los ignoran.

“El cryptojacking, a pesar de su auge, todavía es visto como una simple molestia por muchas organizaciones, algo que los equipos de seguridad no siguen realmente, ya que tienen muchas otras cosas con las que mantenerse al día y los sistemas funcionan las 24 horas del día, los 7 días de la semana, de todos modos, “, le dijo a TechNewsWorld.

A menudo, los equipos de seguridad no realizan un seguimiento porque la criptominería puede ser difícil de detectar en la empresa.

“Las máquinas lentas o lentas son la norma en muchas empresas debido al software inflado y también debido a la detección de amenazas y las actualizaciones automáticas que se realizan en ellas”, explicó Purandar Das, CEO y cofundador de Sotero, una empresa de protección de datos en Burlington, Mass.

“Además, no hay señales externas, aparte de la comunicación de red, aparentes para el usuario final”, dijo a TechNewsWorld.

El problema de no frustrar a los criptomineros es que la criptomoneda extraída en estas organizaciones se usa para financiar otras actividades nefastas por parte de bandas criminales o actores patrocinados por el estado, sostuvo Schrader.

Ventajas de rendimiento

La ejecución de tareas de seguridad en un módulo de hardware, como lo están haciendo Microsoft e Intel, tiene importantes ventajas de rendimiento, señaló Das.

“El proceso de identificación basado en la utilización de recursos e incluso el monitoreo de recursos es mucho más rápido que con los enfoques basados ​​en software”, dijo.

“Lo que es igualmente importante”, continuó, “elimina la necesidad de implementar software que puede tener errores y potencialmente presentar vulnerabilidades”.

Además, Intel TDT brinda a los defensores del sistema información sobre lo que está sucediendo en la capa de la CPU, agregó Erich Kron, defensor de la conciencia de seguridad en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.

“Esto hará que sea más difícil para los piratas informáticos ocultar sus actividades, en lugar de intentar recopilar esta información a través de soluciones de software”, dijo a TechNewsWorld.

“En este caso”, continuó, “TDC está buscando un comportamiento anormal que, de otro modo, el malware podría disfrazar como actividad normal”.

Atrapando Coin Miners en la CPU

Intel TDT aplica el aprendizaje automático a la telemetría de hardware de bajo nivel que se obtiene directamente de la unidad de supervisión del rendimiento de la CPU (PMU) para detectar la “huella digital” de ejecución del código de malware en tiempo de ejecución con una sobrecarga mínima, escribió Selvaraj.

TDT aprovecha un amplio conjunto de eventos de perfiles de rendimiento disponibles en Intel SoC (sistema en un chip) para monitorear y detectar malware en su punto de ejecución final (la CPU), continuó.

Esto sucede independientemente de las técnicas de ofuscación, incluso cuando el malware se esconde dentro de los invitados virtualizados y sin necesidad de técnicas intrusivas como la inyección de código o la realización de una introspección compleja del hipervisor, agregó.

Se pueden lograr ganancias de rendimiento adicionales descargando algo de aprendizaje automático a la unidad de procesamiento de gráficos integrada (GPU) de Intel.

Selvaraj explicó que la tecnología TDT se basa en señales de telemetría provenientes directamente de la PMU, la unidad que registra información de bajo nivel sobre el rendimiento y las características de ejecución de la microarquitectura de las instrucciones procesadas por la CPU.

Los mineros de monedas hacen un uso intensivo de operaciones matemáticas repetidas y esta actividad es registrada por la PMU, que activa una señal cuando se alcanza un cierto umbral de uso.

La señal es procesada por una capa de aprendizaje automático que puede reconocer la huella generada por la actividad específica de la minería de monedas. Dado que la señal proviene exclusivamente de la utilización de la CPU, causada por las características de ejecución del malware, no se ve afectada por las técnicas comunes de evasión de antimalware, como la ofuscación binaria o las cargas útiles de solo memoria.

“La TDT de Intel permite el uso del aprendizaje automático para bloquear genéricamente los ataques de criptojacking basados ​​en operaciones matemáticas repetidas realizadas por criptomineros”, explicó Rohit Dhamankar, vicepresidente de productos de inteligencia de amenazas en Lógica de alerta, una empresa de seguridad de aplicaciones e infraestructura en Houston.

“Este enfoque no se basa en firmas individuales que permiten que el malware de criptojacking eluda el antivirus tradicional o el software de detección y respuesta de puntos finales”, dijo a TechNewsWorld.

Detección de malware sin agentes

Selvaraj agregó que la solución integrada TDT también puede exponer a los mineros de monedas que se esconden en máquinas virtuales desprotegidas u otros contenedores.

“Microsoft Defender for Endpoint puede detener la propia máquina virtual o informar sobre el abuso de la máquina virtual, evitando así la propagación de un ataque y ahorrando recursos”, escribió.

“Este es un paso hacia la detección de malware sin agentes, donde el ‘protector’ puede proteger el activo del ‘atacante’ sin tener que estar en el mismo sistema operativo”, agregó.

Los equipos de seguridad acogerán con agrado cualquier mejora en la eliminación de los mineros de monedas de los sistemas empresariales, ya que el cryptojacking puede ser muy difícil de detectar.

“El criptojacking es particularmente sigiloso por diseño”, observó Josh Smith, analista de seguridad de Nuspire Networks, un proveedor de servicios de seguridad administrados en Walled Lake, Michigan.

“Los mineros de monedas tratan de no hacer ningún ruido como un ataque de ransomware, ya que sería contrario a la intuición y reduciría los ingresos generados”, dijo a TechNewsWorld.

“El cryptojacking puede estar basado en malware, donde el código que realiza la extracción se instala directamente en la máquina víctima, generalmente entregado a través de correos electrónicos de phishing, o el código instalado en sitios web. Cuando un usuario interactúa con el sitio web, se ejecuta un script que realiza la extracción ,” él explicó.

Problema mayor

Los mineros de monedas hábiles pueden ser muy difíciles de detectar, agregó Kron.

“Pueden permanecer inactivos o reducir la actividad durante los momentos en que los usuarios utilizan los dispositivos, y luego aumentar durante los momentos, como fuera del horario laboral, cuando es probable que los usuarios no noten los problemas de rendimiento o el aumento de ruido causado por los ventiladores que intentan desesperadamente enfríe los sistemas con exceso de trabajo “, dijo.

“Si bien el software de criptojacking puede causar bloqueos o reinicios del sistema cuando se presiona con fuerza, muchas organizaciones no ven estos eventos como indicadores de compromiso, ni monitorean el uso de la CPU de las estaciones de trabajo dentro de la organización, lo que facilita que el malware oculte su actividades “, anotó.

Agregó que a medida que los valores de las criptomonedas continúan aumentando, el cryptojacking se vuelve más atractivo para los ciberdelincuentes, lo que lleva a más ataques.

Sin embargo, continuó, el mayor problema con el cryptojacking es que el malware a menudo no está solo en los dispositivos.

“Puede ser parte de una infección mayor que puede incluir troyanos bancarios, ladrones de contraseñas e incluso ransomware”, dijo. “Si los atacantes pueden obtener malware de criptojacking en los sistemas, también pueden obtener otro malware allí”.



John P. Mello Jr. ha sido reportero de ECT News Network desde 2003. Sus áreas de enfoque incluyen ciberseguridad, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado para numerosas publicaciones, incluida la Boston Business Journal, la
Boston Phoenix, Megapixel.Net y Noticias de seguridad del gobierno. Envíe un correo electrónico a John.

.



Source link