El Proyecto Freta de Microsoft está destinado a detener el malware en Azure
Project Freta es un nuevo proyecto de investigación de Microsoft que presenta una plataforma forense de máquina virtual (VM) que detiene el malware. Los usuarios podrán utilizar Freta para encontrar software malicioso en la nube.
Como el Proyecto Freta proviene de Microsoft Research, la compañía lo clasifica como una 'demostración de tecnología'.
Captura una instantánea de una máquina virtual (es compatible con Hyper-V y VMWare) y luego inspecciona su contenido en busca de malware. Para lograr esta funcionalidad, el usuario debe iniciar sesión en el sitio web de Project Freta y luego enviar las imágenes de VM utilizadas en la región especial de Azure.
los anuncio oficial dice:
El motor de análisis Project Freta consume instantáneas de la memoria volátil de Linux de todo el sistema y extrae una enumeración de los objetos del sistema. Algunas identificaciones de enlaces del kernel se realizan automáticamente; esto puede ser utilizado por analistas para detectar nuevos rootkits. El portal de análisis está disponible en forma de prototipo para uso público: https://freta.azurewebsites.net.
El portal prototipo admite muchos tipos de instantáneas de memoria como entradas. Actualmente, solo se ha evaluado un punto de control de Hyper-V para proporcionar una aproximación razonable del "elemento sorpresa" necesario para lograr una detección confiable:
- Utilice la función de punto de control de Hyper-V para producir un archivo VMRS
- Convierta una instantánea de VMWare para producir un archivo CORE
- Extraer memoria desde dentro de un sistema en ejecución usando AVML
- Extraiga memoria desde un sistema en ejecución utilizando LiME
Las instantáneas de memoria para una máquina virtual en ejecución en Azure se pueden tomar con un sensor especial que permitirá capturar y mover la memoria de la instancia a un área fuera de línea para su análisis sin detener su ejecución.
Completado en el invierno de 2019, esta capacidad de sensor actualmente solo está disponible para Microsoft investigadores y no se envía a ninguna de las nubes comerciales de Microsoft; las demostraciones y las sesiones informativas ejecutivas son disponible. Este sensor, junto con el entorno de análisis Freta, demuestra un camino hacia auditorías forenses de memoria automatizadas y económicas de grandes empresas (más de 10,000 VM).
Cuando se complete el análisis, Project Freta creará un informe. Los datos del informe también se pueden obtener a través de REST API y Python.
El informe contiene una enumeración de los objetos del sistema durante el intervalo durante el cual se tomó la muestra:
- Valores y direcciones globales
- Procesos depurados
- Archivos en memoria
- Tabla de interrupciones del kernel
- Módulos del kernel
- Tabla de syscall del kernel
- Redes
- Abrir archivos
- Tabla ARP (arp)
- Enchufes abiertos
- Procesos
- Sockets Unix (lsof)