Microsofts Project Freta soll Malware in Azure stoppen
Project Freta ist ein neues Microsoft Research-Projekt, das eine Forensik-Plattform für virtuelle Maschinen (VM) einführt, die Malware stoppt. Benutzer können Freta verwenden, um bösartige Software in der Cloud zu finden.
Da das Projekt Freta von Microsoft Research stammt, stuft das Unternehmen es als „Technologiedemonstration“ ein.
Es erfasst einen Snapshot einer VM (unterstützt Hyper-V und VMWare) und überprüft dann deren Inhalt auf das Vorhandensein von Malware. Um diese Funktionalität zu erreichen, sollte sich der Benutzer auf der Project Freta-Website anmelden und dann VM-Images senden, die in der speziellen Azure-Region verwendet werden.
Die offizielle Ankündigung sagt:
Die Project Freta-Analyse-Engine verbraucht Snapshots des flüchtigen Linux-Speichers des gesamten Systems und extrahiert eine Aufzählung von Systemobjekten. Einige Kernel-Hooking-Identifikationen werden automatisch durchgeführt; Dies kann von Analysten verwendet werden, um neuartige Rootkits zu erkennen. Das Analyseportal steht prototypisch zur öffentlichen Nutzung zur Verfügung: https://freta.azurewebsites.net.
Das Prototypportal unterstützt viele Arten von Speicher-Snapshots als Eingaben. Derzeit wurde nur ein Hyper-V-Checkpoint evaluiert, um eine vernünftige Annäherung an das „Überraschungselement“ zu bieten, das notwendig ist, um eine vertrauenswürdige Wahrnehmung zu erreichen:
- Verwenden Sie die Hyper-V-Checkpoint-Funktion, um eine VMRS-Datei zu erstellen
- Konvertieren Sie einen VMWare-Snapshot, um eine CORE-Datei zu erstellen
- Extrahieren Sie Speicher aus einem laufenden System mit AVML
- Extrahieren von Speicher aus einem laufenden System mit LiME
Speichermomentaufnahmen für eine ausgeführte VM in Azure können mit einem speziellen Sensor erstellt werden, der es ermöglicht, den Arbeitsspeicher der Instanz zu erfassen und zur Analyse in einen Offlinebereich zu verschieben, ohne die Ausführung zu stoppen.
Diese Sensorfunktion wurde im Winter 2019 fertiggestellt und steht derzeit nur Microsoft zur Verfügung Forscher und wird in keiner der kommerziellen Clouds von Microsoft eingesetzt – Executive Briefings und Demos sind erhältlich. Dieser Sensor zeigt in Verbindung mit der Freta-Analyseumgebung einen Weg zu kostengünstigen, automatisierten forensischen Speicheraudits großer Unternehmen (über 10.000 VMs).
Wenn die Analyse abgeschlossen ist, erstellt Project Freta einen Bericht. Die Berichtsdaten können auch über REST API und Python bezogen werden.
Der Bericht enthält eine Aufzählung der Systemobjekte über das Intervall, in dem die Probe entnommen wurde:
- Globale Werte und Adressen
- Ausgetestete Prozesse
- In-Memory-Dateien
- Kernel-Interrupt-Tabelle
- Kernel-Module
- Kernel-Systemaufruftabelle
- Netzwerke
- Dateien öffnen
- ARP-Tabelle (arp)
- Offene Steckdosen
- Prozesse
- Unix-Sockets (lsof)
