Το Project Freta της Microsoft προορίζεται να σταματήσει το κακόβουλο λογισμικό στο Azure
Το Project Freta είναι ένα νέο ερευνητικό έργο της Microsoft που εισάγει μια πλατφόρμα εγκληματολογίας εικονικής μηχανής (VM) που σταματά το κακόβουλο λογισμικό. Οι χρήστες θα μπορούν να χρησιμοποιούν το Freta για να βρουν κακόβουλο λογισμικό στο cloud.
Καθώς το Project Freta προέρχεται από τη Microsoft Research, η εταιρεία το ταξινομεί ως «επίδειξη τεχνολογίας».
Καταγράφει ένα στιγμιότυπο ενός VM (υποστηρίζει Hyper-V και VMWare) και στη συνέχεια επιθεωρεί το περιεχόμενό του για ύπαρξη κακόβουλου λογισμικού. Για να επιτευχθεί αυτή η λειτουργία, ο χρήστης θα πρέπει να συνδεθεί στον ιστότοπο του Project Freta και στη συνέχεια να υποβάλει εικόνες VM που χρησιμοποιούνται στην ειδική περιοχή Azure.
ο επίσημη ανακοίνωση λέει:
Η μηχανή ανάλυσης Project Freta καταναλώνει στιγμιότυπα της ασταθούς μνήμης Linux ολόκληρου του συστήματος και εξάγει μια απαρίθμηση αντικειμένων συστήματος. Κάποια αναγνώριση αγκίστρωσης πυρήνα εκτελείται αυτόματα. αυτό μπορεί να χρησιμοποιηθεί από αναλυτές για την ανίχνευση νέων rootkit. Η πύλη ανάλυσης είναι διαθέσιμη σε πρωτότυπη μορφή για δημόσια χρήση:
https://freta.azurewebsites.net.Η πρωτότυπη πύλη υποστηρίζει πολλούς τύπους στιγμιότυπων μνήμης ως εισόδους. Επί του παρόντος, μόνο ένα σημείο ελέγχου Hyper-V έχει αξιολογηθεί για να παρέχει μια λογική προσέγγιση του «στοιχείου έκπληξης» που είναι απαραίτητο για την επίτευξη αξιόπιστης ανίχνευσης:
- Χρησιμοποιήστε τη δυνατότητα Hyper-V checkpoint για να δημιουργήσετε ένα αρχείο VMRS
- Μετατρέψτε ένα στιγμιότυπο VMWare για να δημιουργήσετε ένα αρχείο CORE
- Εξαγωγή μνήμης μέσα από ένα τρέχον σύστημα χρησιμοποιώντας AVML
- Εξάγετε τη μνήμη μέσα από ένα τρέχον σύστημα χρησιμοποιώντας το LiME
Τα στιγμιότυπα μνήμης για μια εικονική μηχανή που λειτουργεί σε Azure μπορούν να ληφθούν με έναν ειδικό αισθητήρα που θα επιτρέψει τη λήψη και τη μεταφορά της μνήμης της παρουσίας σε μια περιοχή εκτός σύνδεσης για ανάλυση χωρίς να σταματήσει η εκτέλεσή της.
Ολοκληρώθηκε τον χειμώνα του 2019, αυτή η δυνατότητα αισθητήρα είναι προς το παρόν διαθέσιμη μόνο στη Microsoft ερευνητές και δεν προσφέρεται σε κανένα από τα εμπορικά σύννεφα της Microsoft—οι ενημερώσεις και οι επιδείξεις στελεχών είναι διαθέσιμος. Αυτός ο αισθητήρας, σε συνδυασμό με το περιβάλλον ανάλυσης Freta, δείχνει μια διαδρομή προς φτηνούς, αυτοματοποιημένους εγκληματολογικούς ελέγχους μνήμης μεγάλων επιχειρήσεων (10.000+ VM).
Όταν ολοκληρωθεί η ανάλυση, το Project Freta θα δημιουργήσει μια αναφορά. Τα δεδομένα της αναφοράς μπορούν επίσης να ληφθούν μέσω REST API και Python.
Η αναφορά περιέχει μια απαρίθμηση αντικειμένων συστήματος κατά το διάστημα κατά το οποίο ελήφθη το δείγμα:
- Παγκόσμιες αξίες και διευθύνσεις
- Διεργασίες αποσφαλμάτωσης
- Αρχεία στη μνήμη
- Πίνακας διακοπής πυρήνα
- Μονάδες πυρήνα
- Πίνακας syscall πυρήνα
- Δίκτυα
- Άνοιγμα αρχείων
- Πίνακας ARP (arp)
- Ανοιχτές πρίζες
- Διαδικασίες
- Υποδοχές Unix (lsof)
