Microsofts Project Freta er beregnet til at stoppe malware i Azure
Project Freta er et nyt Microsoft Research-projekt, der introducerer en kriminalteknisk platform for virtuel maskine (VM), der stopper malware. Brugere vil være i stand til at bruge Freta til at finde skadelig software i skyen.
Da Project Freta kommer fra Microsoft Research, klassificerer virksomheden det som en 'teknologidemonstration'.
Den tager et øjebliksbillede af en VM (understøtter Hyper-V og VMWare), og inspicerer derefter indholdet for malware. For at opnå denne funktionalitet skal brugeren logge ind på Project Freta-webstedet og derefter indsende VM-billeder, der bruges i den særlige Azure-region.
Det officiel meddelelse siger:
Project Freta-analysemotoren bruger snapshots af Linux-volatile hukommelse i hele systemet og udtrækker en opregning af systemobjekter. Nogle kernel hooking identifikation udføres automatisk; dette kan bruges af analytikere til at opdage nye rootkits. Analyseportalen er tilgængelig i prototypeform til offentlig brug: https://freta.azurewebsites.net.
Prototypeportalen understøtter mange typer hukommelsessnapshots som input. I øjeblikket er kun et Hyper-V-kontrolpunkt blevet evalueret for at give en rimelig tilnærmelse af det "overraskelseselement", der er nødvendigt for at opnå pålidelig sansning:
- Brug Hyper-V checkpoint-funktionen til at producere en VMRS-fil
- Konverter et VMWare-snapshot for at producere en CORE-fil
- Uddrag hukommelse fra et kørende system ved hjælp af AVML
- Udtræk hukommelse fra et kørende system ved hjælp af LiME
Hukommelsessnapshots for en kørende VM i Azure kan tages med en speciel sensor, der gør det muligt at fange og flytte instansens hukommelse til et offlineområde til analyse uden at stoppe dens eksekvering.
Fuldført i vinteren 2019 er denne sensorfunktion i øjeblikket kun tilgængelig for Microsoft forskere og er ikke opsat på nogen af Microsofts kommercielle skyer – executive briefings og demoer er ledig. Denne sensor, kombineret med Freta-analysemiljøet, demonstrerer en vej til billige, automatiserede hukommelsestekniske revisioner af store virksomheder (10.000+ VM'er).
Når analysen er færdig, vil Project Freta oprette en rapport. Rapportdataene kan også fås via REST API og Python.
Rapporten indeholder en opregning af systemobjekter over det interval, hvor prøven blev taget:
- Globale værdier og adresser
- Debuggede processer
- Filer i hukommelsen
- Kernel-afbrydelsestabel
- Kernel moduler
- Kernel syscall tabel
- Netværk
- Åbn filer
- ARP-tabel (arp)
- Åbne stikkontakter
- Processer
- Unix-stik (lsof)
