Ransomware aanvallen detecteren op basis van CPU-activiteit

Microsoft brengt in samenwerking met Intel een nieuwe functie naar Defender for Endpoint waarmee op basis van CPU-activiteit malware aanvallen worden gedetecteerd. Benieuwd hoe zij dit doen? Lees dan snel verder!

Ransomware is al lange tijd een punt van zorg voor besluitvormers op het gebied van beveiliging en blijft helaas toenemen, zowel in volume als in mate van complexiteit.

Zoals beschreven in het 2021 Microsoft Digital Defense Report, geeft de publiekelijk gerapporteerde winst uit ransomware- en afpersingsaanvallen deze aanvallers een veel groter budget om mee te werken, nieuwe manieren om aanvalstechnieken te ontwikkelen en methoden om realistischere lokmiddelen te creëren. Ransomwarekits en affiliatenetwerken stellen zelfs laaggeschoolde aanvallers in staat deel te nemen aan ransomware aanvallen aangezien de opbrengsten vele malen hoger zijn dan de kosten.

Samenwerking Microsoft en Intel om aanvallen te detecteren

Gezien de toenemende prevalentie en complexiteit van ransomware-aanvallen, kondigt Microsoft aan dat zij hebben samengewerkt met Intel om de integratie van Intel Threat Detection Technology (Intel TDT) in Microsoft Defender for Endpoint uit te breiden om de detectie en bescherming specifiek tegen ransomware te verbeteren. Dit bouwt voort op Microsofts eerdere werk met Intel TDT en Microsoft Defender for Endpoint om cryptojacking te helpen detecteren en beschermen. Intel TDT is een detectieaanpak die traditionele bestands- of gedragsgebaseerde detectie kan verbeteren. Deze technologie-integratie richt zich op de CPU-uitvoeringspatronen die kenmerkend zijn voor ransomware-aanvallen. Intel TDT is beschikbaar in een breed scala van Intel-hardware over meerdere generaties en zal voor consumenten beschikbaar zijn via Microsoft Defender Antivirus. We zijn van plan deze nieuwe mogelijkheid later dit jaar in te schakelen in Microsoft Defender for Endpoint.

Case study Microsoft – WasterLocker ransomware

Om de Microsoft Defender for Endpoint en Intel TDT ransomwaretechnologie in actie te zien, heeft Microsoft getest met een recente en bekende ransomware variant genaamd “WastedLocker”. De WastedLocker ransomware verscheen in 2020 en is nog steeds actief en in ontwikkeling. De naam is afgeleid van de bestandsnaam die het creëert – een afkorting van de hostnaam en de term ‘wasted’.

WastedLocker-aanvallen zijn gericht op specifieke organisaties. Elke aanval creëert een aangepaste ontwerp die uniek is voor een specifieke aangevallen omgeving. Dit maakt het moeilijk om dergelijke aanvallen te detecteren en te blokkeren via traditionele bestands-, handtekening- en gedragsgebaseerde detecties. Bovendien wordt WastedLocker voortdurend getuned om beveiligingsoplossingen te omzeilen.

We hebben de nieuwste WastedLocker binaries getest op een PC met Microsoft Defender for Endpoint en Intel TDT ransomware integratie ingezet. Wanneer WastedLocker ransomware draait, kunnen we duidelijk zien dat het CPU-gebruik toeneemt als gevolg van de versleutelingsactiviteiten:

Afbeelding verhoging CPU-activiteit tijdens ransomware aanval WastedLocker
Afbeelding 1: Verhoging CPU-activiteit tijdens ransomware aanval WastedLocker

De technologie moet echter onderscheid maken tussen legitieme en kwaadaardige activiteiten, die beide het CPU-gebruik kunnen verhogen. Intel TDT bewaakt deze activiteit en maakt gebruik van de PMU in combinatie met machine learning om het dreigingsprofiel te bepalen. Signalen worden vervolgens naar Microsoft Defender for Endpoint gestuurd, die deze signalen combineert met zijn eigen uitgebreide set beveiligingsinformatie van Microsoft om het schadelijke proces te identificeren. Ten slotte kan Microsoft Defender for Endpoint een detectiemelding publiceren en de bedreiging automatisch blokkeren en verhelpen.

Afbeelding dreiging geblokkeerd met Defender for Endpoint
Afbeelding 2: Dreiging geblokkeerd door Defender for Endpoint

De combinatie van Intel Threat Detection Technology en Microsoft Defender for Endpoint kan extra bescherming bieden tegen een van de grootste bedreigingen van dit moment: ransomware. Met nieuwe manieren om ransomware-activiteiten op de hardwarelaag te detecteren, kan deze combinatie van technologieën gebruikers helpen om ransomwaretactieken en -technieken voor te blijven. De samenwerking tussen Intel en Microsoft kan bijdragen aan een sterkere full-stack beveiliging van hardware tot software en onze detecties in Microsoft Defender for Endpoint verbeteren.

Maak je organisatie weerbaar met Microsoft Security trainingen van Master IT

Wil je meer informatie over hoe jouw organisatie zich beter weerbaar kan maken tegen cyberdreigingen met Security trainingen van Master IT? Neem dan telefonisch contact met ons op via 040 23 23 390 of bekijk ons volledige trainingsaanbod!

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Kleine klassen
Flexibel inplannen
Leer wat jij nodig hebt
Gerelateerde trainingen