Les malwares qui utilisent les ressources de calcul des PC ou des serveurs pour miner de la cryptomonnaie sont devenus une plaie pour les entreprises. Discrets, ils sont difficiles à détecter et donc à éliminer. Microsoft prend en charge ces malwares de cryptojacking via son offre Defender for Endpoint dans Windows 10. A cet effet, il se sert de la technologie TDT (Threat Detection Technology) d’Intel.

Cette dernière fait partie d’une suite de fonctionnalités de sécurisation des firmwares et du matériel directement intégrée dans les puces. En l’occurrence TDT intègre le bouclier matériel disponible sur les plateformes vPro et Core. Il associe la télémétrie matérielle de bas niveau collectée depuis l’unité de performance du CPU au machine learning pour détecter les malwares de cryptominage au moment de leur exécution. Microsoft Defender peut ainsi bloquer les processus malveillants sans recourir à l’introspection de l’hyperviseur ou à l’injection de code pour contourner les techniques d’évitement des attaquants.

Une extension aux ransomwares et attaques par déplacement latéral

La firme de Redmond va également utiliser TDT d’Intel pour détecter et arrêter d’autres souches de malware ou des techniques d’attaque. Karthik Selvaraj, chercheur principal au sein de l’équipe Microsoft 365 Defender Research, indique « même si nous avons activé cette technologie spécifiquement pour le minage de crypto-monnaies, elle élargit les horizons pour détecter des menaces plus agressives comme les attaques par déplacement latéral et les ransomwares ». Il ajoute : « Intel TDT a déjà les capacités pour de tels scénarios, et l'apprentissage automatique peut être entraîné pour reconnaître ces vecteurs d'attaque. »