Microsoftin Project Freta on tarkoitettu pysäyttämään haittaohjelmat Azuressa
Project Freta on uusi Microsoft Research -projekti, joka esittelee virtuaalisen koneen (VM) forensics-alustan, joka pysäyttää haittaohjelmat. Käyttäjät voivat käyttää Fretaa löytääkseen haittaohjelmia pilvestä.
Koska Project Freta tulee Microsoft Researchilta, yritys luokittelee sen "teknologiaesittelyksi".
Se kaappaa tilannekuvan virtuaalikoneesta (tukee Hyper-V: tä ja VMWarea) ja tarkastaa sitten sen sisällön haittaohjelmien olemassaolon. Tämän toiminnon saavuttamiseksi käyttäjän tulee kirjautua sisään Project Freta -verkkosivustoon ja lähettää sitten erityisellä Azure-alueella käytetyt VM-kuvat.
The virallinen ilmoitus sanoo:
Project Freta -analyysimoottori kuluttaa tilannekuvia koko järjestelmän haihtuvasta Linux-muistista ja poimii luettelon järjestelmäobjekteista. Jotkut ytimen kytkentätunnisteet suoritetaan automaattisesti; Analyytikot voivat käyttää tätä uusien rootkittien havaitsemiseen. Analyysiportaali on saatavilla prototyyppimuodossa julkiseen käyttöön: https://freta.azurewebsites.net.
Prototyyppiportaali tukee monen tyyppisiä muistin tilannekuvia tuloina. Tällä hetkellä vain Hyper-V-tarkistuspiste on arvioitu antamaan kohtuullinen arvio "yllätyselementistä", joka tarvitaan luotettavan havainnoinnin saavuttamiseksi:
- Käytä Hyper-V-tarkistuspisteominaisuutta VMRS-tiedoston luomiseen
- Muunna VMWaren tilannekuva CORE-tiedoston tuottamiseksi
- Pura muistia käynnissä olevasta järjestelmästä AVML: n avulla
- Pura muistia käynnissä olevasta järjestelmästä LiME: n avulla
Muistin tilannekuvia käynnissä olevasta virtuaalikoneesta Azuressa voidaan ottaa erityisellä anturilla, jonka avulla voidaan kaapata ja siirtää ilmentymän muisti offline-alueelle analysointia varten pysäyttämättä sen suorittamista.
Talvella 2019 valmistunut anturiominaisuus on tällä hetkellä vain Microsoftin käytettävissä tutkijoita, eikä sitä ole kohdistettu mihinkään Microsoftin kaupallisiin pilviin – johdon tiedotustilaisuudet ja demot ovat saatavilla. Tämä anturi yhdistettynä Freta-analyysiympäristöön näyttää tien halpojen, automaattisten muistien rikosteknisiin tarkastuksiin suurissa yrityksissä (10 000+ virtuaalikonetta).
Kun analyysi on valmis, Project Freta luo raportin. Raporttitiedot ovat saatavissa myös REST API: n ja Pythonin kautta.
Raportti sisältää luettelon järjestelmäobjekteista ajanjaksolta, jonka aikana näyte otettiin:
- Globaalit arvot ja osoitteet
- Virheenkorjausprosessit
- Muistissa olevat tiedostot
- Ytimen keskeytystaulukko
- Ytimen moduulit
- Ytimen syscall-taulukko
- Verkot
- Avaa tiedostot
- ARP-pöytä (arp)
- Avaa pistorasiat
- Prosessit
- Unix-liittimet (lsof)
