Проектът Freta на Microsoft е предназначен да спре зловреден софтуер в Azure
Project Freta е нов проект на Microsoft Research, който въвежда криминалистична платформа за виртуална машина (VM), която спира зловреден софтуер. Потребителите ще могат да използват Freta за намиране на зловреден софтуер в облака.
Тъй като Project Freta идва от Microsoft Research, компанията го класифицира като „демонстрация на технология“.
Той заснема моментна снимка на VM (поддържа Hyper-V и VMWare) и след това проверява съдържанието му за наличие на злонамерен софтуер. За да постигне тази функционалност, потребителят трябва да влезе в уеб сайта на Project Freta и след това да изпрати изображения на VM, използвани в специалния регион Azure.
В официално съобщение казва:
Системата за анализ на Project Freta консумира моментни снимки на цялата система Linux летлива памет и извлича изброяване на системни обекти. Някои идентификации на ядрото се извършват автоматично; това може да се използва от анализатори за откриване на нови руткити. Порталът за анализ е достъпен в прототипна форма за обществено ползване: https://freta.azurewebsites.net.
Прототипният портал поддържа много типове моментни снимки на паметта като входни данни. Понастоящем само една контролна точка на Hyper-V е оценена, за да осигури разумно приближение на „елемента на изненадата“, необходим за постигане на надеждно усещане:
- Използвайте функцията за контролна точка Hyper-V, за да създадете VMRS файл
- Конвертирайте моментна снимка на VMWare, за да създадете CORE файл
- Извличане на памет в рамките на работеща система с помощта на AVML
- Извличане на памет от работеща система с помощта на LiME
Моментни снимки на паметта за работеща виртуална машина в Azure могат да бъдат направени със специален сензор, който ще позволи да се улови и премести паметта на екземпляра в офлайн зона за анализ, без да се спира изпълнението му.
Завършена през зимата на 2019 г., тази сензорна възможност в момента е достъпна само за Microsoft изследователи и не е предоставен на нито един от търговските облаци на Microsoft – брифинги и демонстрации на изпълнителни директори са на разположение. Този сензор, съчетан със средата за анализ на Freta, демонстрира път към евтини, автоматизирани криминалистични одити на паметта на големи предприятия (10 000+ VM).
Когато анализът приключи, Project Freta ще създаде отчет. Данните за отчета могат да бъдат получени и чрез REST API и Python.
Отчетът съдържа изброяване на системни обекти през интервала, през който е взета пробата:
- Глобални ценности и адреси
- Отстранени процеси
- Файлове в паметта
- Таблица за прекъсване на ядрото
- Модули на ядрото
- Таблица за системно извикване на ядрото
- мрежи
- Отворете файлове
- ARP таблица (arp)
- Отворени гнезда
- процеси
- Unix сокети (lsof)
