Şirket, CrowdStrike’ın, aksi takdirde işletim sistemi tarafından algılanamayacak olan karmaşık saldırı tekniklerini tespit etmek için Falcon platformuna Intel tarafından geliştirilen bir CPU özelliğini dahil ettiğini söylüyor.
Intel Processor Trace (Intel PT) olarak adlandırılan CPU özelliği, bir yürütülebilir dosyayı çalışırken izler, izlemeyi diskte depolar ve ardından yürütülen talimatların tam sırasını yeniden oluşturmak için izlemeyi analiz eder. Intel PT, süreç üzerinde kod yürütmeyi kaydedebildiğinden, çeşitli alanlarda görünürlük sağlar. program davranış analizistatik ve dinamik analiz, performans analizi ve tanılama, istismar algılama, yazılım arızası anlama ve ölüm sonrası çökme dökümü analizi dahil. Bu özellik daha önce tehdit algılama araçları tarafından kullanılmıştı. kötü amaçlı yazılımları geliştirmek ve analizlerden yararlanmak için.
CrowdStrike, Intel PT’nin kodun yeniden kullanımı açıklarının tespiti ve önlenmesi için yararlı kapsamlı telemetri sağladığını söylüyor.
Falcon sensörünün Donanımla Geliştirilmiş Açıklardan Yarar Algılama özelliği, seçilen bir program grubu için yakalanan izi analiz etmek için Intel PT telemetrisini kullanır ve kabuk kodu enjeksiyonu ve geri dönüşe yönelik programlama gibi yararlanma teknikleriyle ilişkili şüpheli işlemleri arar. Intel PT’nin etkinleştirildiği ve desteklendiği sistemlerde, çekirdekte çalışan güvenlik yazılımı “artık eşleşmeyen aramalar, şüpheli yığın işaretçisi yüklemeleri, aşırı dolaylı arama ve atlama kullanımı ve daha fazlası gibi farklı şüpheli işlemleri kontrol edebilir” diye belirtiyor CrowdStrike .
CrowdStrike, bu özelliğin Firefox’u hedefleyen ROP tabanlı istismar zincirlerini tespit etmek için zaten kullanıldığını söylüyor.
Intel PT, beşinci nesilden (“Broadwell”) beri Intel CPU’larında bulunur; bu, bu özelliğin eski sistemlerde mevcut olduğu anlamına gelir. Intel PT’nin Falcon sensörüyle birleşimi, modern yerleşik güvenlik korumalarından yoksun eski sistemler için bellek güvenliği korumaları sağlayabilir. Donanımla Geliştirilmiş Açıklardan Yarar Algılama, Windows 10 RS4 veya sonraki sürümleri çalıştıran altıncı nesil veya daha yeni Intel CPU’lara sahip sistemler için Falcon sensörünün 6.27 sürümüyle kullanılabilir.
Daha fazla oku burada CrowdStrike’tan.