【Microsoft都讚好】Intel處理器暗藏TDT偵測技術 分析運算特徵揪出隱密病毒
Microsoft 宣布將會為付費版防毒軟件 Defender 加入新功能,可以準確偵測電腦有否被挖礦 (crypto-mining) 軟件暗中操控,而 Microsoft 借助的技術,就是 Intel 專為商務電腦而設的 vPro 處理器,當中具備的 TDT 功能,可讓防毒軟件直接分析處理器的運作,比起一般只可分析作業系統活動的防毒軟件,更能直接揪出先進的惡意軟件。
TDT 全名為 Threat Detection Technology,是 Intel 附加於 vPro 版本處理器的其中一項功能。雖然是專為商務電腦而設,但 Intel 方面表示現時市場上已有 10 億部支援 TDT 的電腦,因此如能善用,便可能大部分電腦免受網絡攻擊。今次 Microsoft 宣布於付費版 Defender 引入 TDT 技術,便是看中其精確的分析處理器能力。
Microsoft 首先指出,現時惡意軟件為避過傳統防毒軟件的偵測,黑客會使用多種技術,例如將惡意程式混淆化 (obfuscation) 或加密,以通過防毒軟件的掃描;又或只於記憶體內運行的無檔案 (fileless),令防毒軟件無法從監察作業系統找出可疑之處。不過,Microsoft 解釋無論是上述哪種惡意軟件,最終都必須要利用處理器執行,而 TDT 技術則可直接監察處理器的運作程序,因為它已通過機械學習 (machine learning) 而掌握的惡意軟件運作特徵,因此只要發現處理器的運作符合一定規則,例如挖礦會經常使用數式運算,取用 TDT 情報的 Defender 便會發出警報。
雖然 Intel 的 TDT 技術看似有用,不過卻未有太多公司加以利用,據知 Microsoft 今次引用只是第三個活用個案。TDT 首次於 2018 年被 Microsoft 及 Cisco 應用於加速自家防毒軟件的記憶體掃描,而第二個案例則發生在今年初,一個波士頓網絡安全公司 Cybereason 亦將 TDT 加入自家的防毒軟件引擎,偵測勒索軟件 (ransomware) 的運作特徵。隨著現時惡意軟件不斷提升隱密性,相信 TDT 的使用案例將會愈來愈多。
