Microsoft Defender стал блокировать криптомайнеры с помощью Intel TDT

Татьяна Никитина 27 Апреля 2021 - 15:47

Домашние пользователи

Microsoft

Microsoft Windows Defender

Персональный антивирус

Бесплатные антивирусы

Вирусы-майнеры

...

Microsoft Defender стал блокировать криптомайнеры с помощью Intel TDT

В Microsoft Defender введена поддержка детектирования скрытых майнеров с использованием технологии Intel TDT. Опция, позволяющая обнаружить таких зловредов на уровне процессора, доступна только пользователям коммерческой версии инструмента защиты — Microsoft Defender for Endpoint.

Разработанная в Intel технология TDT (Threat Detection Technology) предполагает использование аппаратной телеметрии и эвристик для детектирования угроз, способных обойти антивирусную защиту уровня операционной системы. Анализ подозрительной активности при этом проводится с помощью средств машинного обучения, а вся нагрузка по мониторингу и анализу телеметрических данных выносится на графический процессор — GPU.

Согласно пояснению Microsoft, криптомайнеры при работе часто повторяют одни и те же математические операции. В процессорах Intel такую повышенную активность отслеживает блок контроля производительности PMU (Performance Monitoring Unit). При превышении заданного предела на выполнение однотипных инструкций этот сторож инициирует запуск алгоритма машинного обучения, способного распознать цифровой отпечаток зловреда, нацеленного на скрытную добычу криптовалюты.

Технология TDT в настоящее время доступна на платформах Intel vPro и Intel Core. По оценке чипмейкера, эту аппаратную защиту предлагают около 1 млрд компьютеров на рынке. Разработчики продуктов Microsoft впервые опробовали TDT в 2018 году с целью ускорения сканирования памяти процессов, выполняемого Windows Defender Advanced Threat Protection (ныне Microsoft Defender for Endpoint).

В начале этого года стало известно, что Intel расширила функциональность TDT, добавив возможность детектирования вымогательских программ, и ею уже собирается воспользоваться ИБ-компания Cybereason. Аналогичные планы вынашивает Microsoft, не желая ограничиваться криптомайнерами. Не исключено, что со временем ее Defender сможет на основе TDT эффективно блокировать даже атаки по стороннему каналу.

К сожалению, это нововведение недоступно пользователям бесплатного Microsoft Defender, который входит в комплект всех Windows 10.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 21:33

Уязвимости программ Домашние пользователи Корпорации

В GitHub нашли критическую дыру: можно было получить доступ к репозиториям

Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.

Суть уязвимости была в ошибке обработки пользовательских параметров при git push.

Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.

Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.

GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.

Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!