Microsofti projekt Freta on mõeldud Azure'is pahavara peatamiseks
Project Freta on uus Microsoft Researchi projekt, mis tutvustab virtuaalmasina (VM) kohtuekspertiisi platvormi, mis peatab pahavara. Kasutajad saavad kasutada Fretat pilvest pahatahtliku tarkvara leidmiseks.
Kuna Project Freta pärineb Microsoft Researchist, klassifitseerib ettevõte selle "tehnoloogia tutvustamiseks".
Reklaam
See jäädvustab VM-i hetktõmmise (toetab Hyper-V-d ja VMWare'i) ning seejärel kontrollib selle sisu pahavara olemasolu suhtes. Selle funktsiooni saavutamiseks peaks kasutaja Project Freta veebisaidile sisse logima ja seejärel esitama spetsiaalses Azure'i piirkonnas kasutatavad VM-i kujutised.
The ametlik teadaanne ütleb:
Project Freta analüüsimootor kasutab kogu süsteemi Linuxi muutmälu hetktõmmiseid ja eraldab süsteemiobjektide loendi. Osa kerneli haakumise tuvastamisest tehakse automaatselt; seda saavad analüütikud kasutada uute juurkomplektide tuvastamiseks. Analüüsiportaal on avalikuks kasutamiseks saadaval prototüübi kujul: https://freta.azurewebsites.net.
Prototüüpportaal toetab sisenditena mitut tüüpi mälu hetktõmmiseid. Praegu on hinnatud ainult Hyper-V kontrollpunkti, mis annab usaldusväärse tuvastuse saavutamiseks vajaliku üllatuse elemendi mõistliku ligikaudse hinnangu:
- VMRS-faili loomiseks kasutage Hyper-V kontrollpunkti funktsiooni
- Teisendage VMWare'i hetktõmmis CORE-faili loomiseks
- AVML-i abil eraldage töötavast süsteemist mälu
- Pakkige LiME abil töötavast süsteemist mälu välja
Azure'is töötava VM-i mälupilte saab teha spetsiaalse anduriga, mis võimaldab jäädvustada ja teisaldada eksemplari mälu analüüsimiseks võrguühenduseta piirkonda ilma selle täitmist peatamata.
2019. aasta talvel valminud andurivõimalus on praegu saadaval ainult Microsoftile uurijad ja see ei ole suunatud ühelegi Microsofti kommertspilvele – juhtide infotunnid ja demod on olemas saadaval. See andur koos Freta analüüsikeskkonnaga demonstreerib teed suurte ettevõtete (10 000+ VM-i) odavate, automatiseeritud mälu kohtuekspertiisi audititeni.
Kui analüüs on lõpetatud, koostab Project Freta aruande. Aruande andmeid saab hankida ka REST API ja Pythoni kaudu.
Aruanne sisaldab süsteemiobjektide loendit proovi võtmise intervalli jooksul:
- Globaalsed väärtused ja aadressid
- Silutud protsessid
- Mälus olevad failid
- Kerneli katkestuse tabel
- Kerneli moodulid
- Kerneli syscall tabel
- Võrgud
- Ava failid
- ARP tabel (arp)
- Avage pistikupesad
- Protsessid
- Unixi pistikupesad (lsof)