Microsoft Defender blockt Crypto-Jacking-Versuche

[English]Microsoft hat seinen Microsoft Defender for Endpoint um Funktionen erweitert, um Angriffe von Krypto-Minern auf geschützte Systeme zu erkennen und zu eliminieren. Dabei kommt die Intel Threat Detection Technologie auf Intel Core Prozessoren und die Intel vPro Plattform zum Einsatz.


Anzeige

Das Mining von Kryptogeld (Bitcoins, Ethereum, Litecoin und Dogecoin & Co.) ist inzwischen von einem lästiges Übel zu einem Problem geworden. Denn die Mining-Algorithmen beanspruchen Maschinenressourcen. Zudem ist es so, dass Maschinen, auf denen ohne Wissen und Zutun des Besitzers/Administrators offenbar Schwachstellen existieren, über die Cyber-Kriminelle ihre Minium-Software installieren können.

Da die Preise für Kryptowährungen steigen, bevorzugen viele Angreifer nun Kryptojacking gegenüber Ransomware. Damit steigen die Risiken für Unternehmen, da Angreifer Coin-Miner als Nutzlast für Malware-Kampagnen einsetzen. Laut einer aktuellen Studie der Avira Protection Labs gab es im vierten Quartal 2020 einen Anstieg der Coin-Miner-Malware-Angriffe um 53 Prozent im Vergleich zum dritten Quartal 2020.

Andererseits ist die Erkennung von Coin-Minern in letzter Zeit immer schwieriger geworden, da die Cyber-Kriminellen diese Software immer besser tarnen. Darum sind Microsoft und Intel eine Partnerschaft eingegangen, um eine Erkennung von Minern auf Chip-Basis zu erkennen. Ziel war es, die Endpunkt-Erkennungs- und Reaktionsfunktionen (EDR) in Microsoft Defender for Endpoint zu ermöglichen, um Cryptocurrency-Mining-Malware besser zu erkennen, selbst wenn die Malware verschleiert ist und versucht, Sicherheitstools zu umgehen.

In diesem Blog-Beitrag hat Microsoft nun das Ergebnis in Form der Integration der Intel Threat Detection Technology (TDT) in den Microsoft Defender for Endpoint vorgestellt. Dies ist eine Ergänzung, die die Erkennungsfähigkeit und den Schutz vor Cryptojacking-Malware verbessert. Intels TDT koppelt Low-Level-Hardware-Telemetrie, die von der Performance Monitoring Unit (PMU) der CPU gesammelt wird, mit maschinellem Lernen, um Krypto-Miner zum Ausführungszeitpunkt zu erkennen.

Dies ermöglicht dem Microsoft Defender, die bösartigen Prozesse zu blockieren, ohne Hypervisor-Introspektion oder Code-Injektion verwenden zu müssen. So lassen sich die Techniken, wie die von Malware-Erstellern zur Code-Verschleierung verwendeten Maßnahmen, die eine Erkennung der Malware verhindern sollen, schlicht umgehen.

Microsoft will Intel TDT in Zukunft auch nutzen, um andere Malware-Familien und Angriffstechniken wie Ransomware und Side-Channel-Angriffe zu erkennen und zu stoppen. Die neue Funktion ist im Microsoft Defender für alle Systeme verfügbar, die Intel Core Prozessoren und die Intel vPro Plattform der 6. Generation oder höher verwenden. Details sind im Beitrag Defending against cryptojacking with Microsoft Defender for Endpoint and Intel TDT von Microsoft nachlesbar. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Crypto-Miner, Defender, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Microsoft Defender blockt Crypto-Jacking-Versuche

  1. Bolko sagt:

    Kann es sein, dass der Defender ein Problem hat, mit Wikipedia.zim Dateien?

    Ich habe nämlich gestern mehrmals versucht, die Datei
    wikipedia_de_all_nopic_2021-03.zim
    mit Chromium von dort runterzuladen:
    h**ps://ftp.fau.de/kiwix/zim/wikipedia/

    Als der Download fertig war, war erst der Browser sehr träge und nach ein paar Sekunden lies sich die Maus nicht mehr bewegen und der Computer fror ein.
    Es half nur noch ein Reset.
    Das passierte zwei mal identisch.

    Normalerweise prüft der Defender zu genau diesem Zeitpunkt die runtergeladene Datei und anschließend blinkt das Downloadsymbol im Chromium dreimal kurz auf und der Download ist fertig. Dieses blinken geschah nicht, sondern der fertige Download-Kreis bleib stehen, was bedeutet, dass der Defender-Scan noch aktiv ist.

    Ein Download mit JDownloader funktionierte hingegen problemlos.

  2. Thomas sagt:

    Moin
    In verschiedenen Szenarien, nach einer Neu Installation und dem Update Gerödel, hatte Ich es ein paar mal das ganz normale Downloads herunter geladen wurden, und der Defender die EXE nicht erlaubt hat.
    Von Edge / Chrome / Opera / Opera GX / Firefox

    Je nach Installation immer wieder ein anderer, FF war aber meist immer dabei :-(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.