يهدف Project Freta من Microsoft إلى إيقاف البرامج الضارة في Azure

Project Freta هو مشروع بحثي جديد من Microsoft يقدم نظامًا أساسيًا للطب الشرعي للآلة الافتراضية (VM) يوقف البرامج الضارة. سيتمكن المستخدمون من استخدام Freta للعثور على البرامج الضارة في السحابة.

نظرًا لأن Project Freta يأتي من Microsoft Research ، فإن الشركة تصنفه على أنه "عرض تقني".

يلتقط لقطة من جهاز افتراضي (يدعم Hyper-V و VMWare) ، ثم يفحص محتوياته بحثًا عن وجود برامج ضارة. لتحقيق هذه الوظيفة ، يجب على المستخدم تسجيل الدخول على موقع ويب Project Freta ثم إرسال صور VM المستخدمة في منطقة Azure الخاصة.

ال اعلان رسمي يقول:

يستهلك محرك تحليل Project Freta لقطات من ذاكرة Linux المتقلبة للنظام بأكمله ويستخرج تعدادًا لكائنات النظام. يتم تنفيذ بعض عمليات تحديد ربط kernel تلقائيًا ؛ يمكن للمحللين استخدام هذا لاكتشاف برامج rootkits الجديدة. بوابة التحليل متاحة في نموذج أولي للاستخدام العام: https://freta.azurewebsites.net.

تدعم بوابة النموذج الأولي العديد من أنواع لقطات الذاكرة كمدخلات. حاليًا ، تم تقييم نقطة تفتيش Hyper-V فقط لتوفير تقريب معقول لـ "عنصر المفاجأة" الضروري لتحقيق استشعار موثوق به:

• استخدم ميزة Hyper-V checkpoint لإنتاج ملف VMRS
• تحويل لقطة برنامج VMWare لإنتاج ملف CORE
• استخرج الذاكرة من داخل نظام قيد التشغيل باستخدام AVML
• استخرج الذاكرة من داخل نظام قيد التشغيل باستخدام LiME

يمكن التقاط لقطات الذاكرة لجهاز ظاهري قيد التشغيل في Azure باستخدام مستشعر خاص يسمح بالتقاط ذاكرة المثيل ونقلها إلى منطقة غير متصلة بالإنترنت لتحليلها دون إيقاف تنفيذها.

اكتمل هذا المستشعر في شتاء عام 2019 ، وهو متاح حاليًا لشركة Microsoft فقط باحثين ولم يتم إرسالهم إلى أي من السحابات التجارية لشركة Microsoft - الإيجازات التنفيذية والعروض التوضيحية متوفرة. يوضح هذا المستشعر ، إلى جانب بيئة تحليل Freta ، مسارًا لإجراء عمليات تدقيق جنائية آلية رخيصة للذاكرة للمؤسسات الكبيرة (أكثر من 10000 جهاز افتراضي).

عند اكتمال التحليل ، سيقوم Project Freta بإنشاء تقرير. يمكن أيضًا الحصول على بيانات التقرير عبر REST API و Python.

يحتوي التقرير على تعداد لكائنات النظام خلال الفترة الزمنية التي تم خلالها أخذ العينة:

• القيم والعناوين العالمية
• العمليات المصححة
• ملفات في الذاكرة
• جدول مقاطعة Kernel
• وحدات Kernel
• جدول kernel syscall
• الشبكات
• الملفات المفتوحة
• جدول ARP (ARP)
• مآخذ مفتوحة
• العمليات
• مقابس يونكس (lsof)