Le projet Freta de Microsoft est destiné à arrêter les logiciels malveillants dans Azure
Le projet Freta est un nouveau projet de recherche de Microsoft qui introduit une plate-forme d'investigation de machine virtuelle (VM) qui arrête les logiciels malveillants. Les utilisateurs pourront utiliser Freta pour trouver des logiciels malveillants dans le cloud.
Comme le projet Freta provient de Microsoft Research, la société le classe comme une « démonstration technologique ».
Publicité
Il capture un instantané d'une machine virtuelle (prend en charge Hyper-V et VMWare), puis inspecte son contenu pour détecter l'existence de logiciels malveillants. Pour obtenir cette fonctionnalité, l'utilisateur doit se connecter sur le site Web Project Freta, puis soumettre des images de machine virtuelle utilisées dans la région Azure spéciale.
Les annonce officielle dit:
Le moteur d'analyse Project Freta consomme des instantanés de la mémoire volatile Linux de l'ensemble du système et extrait une énumération des objets système. Certaines identifications d'accrochage au noyau sont effectuées automatiquement; cela peut être utilisé par les analystes pour détecter de nouveaux rootkits. Le portail d'analyse est disponible sous forme de prototype pour un usage public:
https://freta.azurewebsites.net.Le portail prototype prend en charge de nombreux types d'instantanés de mémoire en tant qu'entrées. Actuellement, seul un point de contrôle Hyper-V a été évalué pour fournir une approximation raisonnable de "l'élément de surprise" nécessaire pour obtenir une détection fiable :
- Utilisez la fonctionnalité de point de contrôle Hyper-V pour produire un fichier VMRS
- Convertir un instantané VMWare pour produire un fichier CORE
- Extraire la mémoire d'un système en cours d'exécution à l'aide d'AVML
- Extraire la mémoire d'un système en cours d'exécution à l'aide de LiME
Des instantanés de mémoire pour une machine virtuelle en cours d'exécution dans Azure peuvent être pris avec un capteur spécial qui permettra de capturer et de déplacer la mémoire de l'instance vers une zone hors ligne pour analyse sans arrêter son exécution.
Achevée à l'hiver 2019, cette capacité de capteur n'est actuellement disponible que pour Microsoft chercheurs et n'est affecté à aucun des clouds commerciaux de Microsoft. disponible. Ce capteur, couplé à l'environnement d'analyse Freta, montre une voie vers des audits judiciaires automatisés et bon marché de la mémoire des grandes entreprises (plus de 10 000 VM).
Une fois l'analyse terminée, Project Freta créera un rapport. Les données du rapport peuvent également être obtenues via l'API REST et Python.
Le rapport contient une énumération des objets système sur l'intervalle pendant lequel l'échantillon a été prélevé :
- Valeurs et adresses globales
- Processus débogués
- Fichiers en mémoire
- Table d'interruption du noyau
- Modules du noyau
- Table des appels système du noyau
- Réseaux
- Ouvrir des fichiers
- table ARP (arp)
- Prises ouvertes
- Processus
- sockets Unix (lsof)
