Projekt Freta společnosti Microsoft je určen k zastavení malwaru v Azure
Projekt Freta je nový výzkumný projekt společnosti Microsoft, který představuje forenzní platformu virtuálních strojů (VM), která zastaví malware. Uživatelé budou moci využít Fretu k nalezení škodlivého softwaru v cloudu.
Protože projekt Freta pochází z výzkumu společnosti Microsoft, společnost jej klasifikuje jako „technologickou ukázku“.
Zachycuje snímek virtuálního počítače (podporuje Hyper-V a VMWare) a poté kontroluje jeho obsah, zda neobsahuje malware. K dosažení této funkce by se měl uživatel přihlásit na webu Project Freta a poté odeslat obrazy virtuálních počítačů používané ve speciální oblasti Azure.
The oficiální oznámení říká:
Analytický stroj Project Freta spotřebovává snímky volatilní paměti celého systému Linuxu a extrahuje výčet systémových objektů. Určitá identifikace hákování jádra se provádí automaticky; to může být použito analytiky k detekci nových rootkitů. Analytický portál je k dispozici ve formě prototypu pro veřejné použití: https://freta.azurewebsites.net.
Prototypový portál podporuje mnoho typů paměťových snímků jako vstupů. V současné době byl vyhodnocen pouze kontrolní bod Hyper-V, který poskytuje přiměřenou aproximaci „prvku překvapení“ nutného k dosažení důvěryhodného snímání:
- Pomocí funkce kontrolního bodu Hyper-V vytvořte soubor VMRS
- Převeďte snímek VMWare a vytvořte soubor CORE
- Extrahujte paměť z běžícího systému pomocí AVML
- Extrahujte paměť z běžícího systému pomocí LiME
Snímky paměti pro běžící virtuální počítač v Azure lze pořizovat pomocí speciálního senzoru, který umožní zachytit a přesunout paměť instance do offline oblasti pro analýzu bez zastavení jejího provádění.
Tato funkce senzoru, která byla dokončena v zimě 2019, je v současné době dostupná pouze společnosti Microsoft výzkumní pracovníci a není zapojen do žádného z komerčních cloudů společnosti Microsoft – brífinky a ukázky výkonných pracovníků ano k dispozici. Tento senzor ve spojení s analytickým prostředím Freta demonstruje cestu k levným, automatizovaným forenzním auditům paměti velkých podniků (více než 10 000 VM).
Po dokončení analýzy Project Freta vytvoří zprávu. Data sestavy lze také získat přes REST API a Python.
Zpráva obsahuje výčet systémových objektů za interval, během kterého byl vzorek odebrán:
- Globální hodnoty a adresy
- Odladěné procesy
- Soubory v paměti
- Tabulka přerušení jádra
- Moduly jádra
- Tabulka systémového volání jádra
- sítě
- Otevřít soubory
- tabulka ARP (arp)
- Otevřete zásuvky
- Procesy
- Unixové sokety (lsof)
