Microsoftov projekt Freta namijenjen je zaustavljanju zlonamjernog softvera u Azureu
Project Freta je novi Microsoftov istraživački projekt koji uvodi forenzičku platformu virtualnih strojeva (VM) koja zaustavlja zlonamjerni softver. Korisnici će moći koristiti Freta za pronalaženje zlonamjernog softvera u oblaku.
Kako projekt Freta dolazi iz Microsoft Researcha, tvrtka ga klasificira kao 'demonstraciju tehnologije'.
Snima snimku VM-a (podržava Hyper-V i VMWare), a zatim provjerava postojanje zlonamjernog softvera u njegovom sadržaju. Da bi postigao ovu funkcionalnost, korisnik bi se trebao prijaviti na web stranicu Project Freta, a zatim poslati slike VM-a koje se koriste u posebnoj regiji Azure.
The službeno priopćenje kaže:
Motor za analizu Project Freta koristi snimke hlapljive memorije cijelog sustava Linux i izdvaja nabrajanje objekata sustava. Neka identifikacija spajanja kernela se izvodi automatski; to analitičari mogu koristiti za otkrivanje novih rootkita. Portal za analizu dostupan je u obliku prototipa za javnu upotrebu: https://freta.azurewebsites.net.
Prototipski portal podržava mnoge vrste memorijskih snimaka kao ulaza. Trenutačno je procijenjena samo kontrolna točka Hyper-V kako bi se pružila razumna aproksimacija "elementa iznenađenja" potrebnog za postizanje pouzdanog otkrivanja:
- Koristite značajku kontrolne točke Hyper-V za izradu VMRS datoteke
- Pretvorite VMWare snimku da dobijete CORE datoteku
- Ekstrahirajte memoriju iz sustava koji radi pomoću AVML-a
- Ekstrahirajte memoriju iz sustava koji radi pomoću LiME
Snimke memorije za pokrenuti VM u Azureu mogu se snimiti posebnim senzorom koji će omogućiti hvatanje i premještanje memorije instance u izvanmrežno područje radi analize bez zaustavljanja njezina izvršavanja.
Dovršena u zimu 2019., ova mogućnost senzora trenutno je dostupna samo Microsoftu istraživači i nije uvršten ni u jedan od Microsoftovih komercijalnih oblaka – brifinzi i demonstracije izvršnih direktora su dostupno. Ovaj senzor, zajedno s okruženjem za analizu Freta, pokazuje put do jeftinih, automatiziranih forenzičkih revizija memorije velikih poduzeća (10.000+ VM-ova).
Kada se analiza završi, Project Freta će izraditi izvješće. Podaci izvješća također se mogu dobiti putem REST API-ja i Pythona.
Izvješće sadrži nabrajanje objekata sustava u intervalu tijekom kojeg je uzorak uzet:
- Globalne vrijednosti i adrese
- Otklonjeni procesi
- Datoteke u memoriji
- Tablica prekida kernela
- Moduli kernela
- Tablica sistemskog poziva kernela
- Mreže
- Otvorite datoteke
- ARP tablica (arp)
- Otvorene utičnice
- Procesi
- Unix utičnice (lsof)
