A Microsoft Project Freta célja a rosszindulatú programok megállítása az Azure-ban
A Project Freta egy új Microsoft Research projekt, amely egy virtuális gép (VM) kriminalisztikai platformot mutat be, amely megállítja a rosszindulatú programokat. A felhasználók a Freta segítségével rosszindulatú szoftvereket találhatnak a felhőben.
Mivel a Project Freta a Microsoft Researchtől származik, a vállalat „technológiai bemutató” kategóriába sorolja.
Pillanatképet készít egy virtuális gépről (támogatja a Hyper-V-t és a VMWare-t), majd megvizsgálja a tartalmát rosszindulatú programok jelenlétére. E funkció eléréséhez a felhasználónak be kell jelentkeznie a Project Freta webhelyre, majd el kell küldenie a speciális Azure-régióban használt virtuális gép-képeket.
Az hivatalos bejelentés mondja:
A Project Freta elemzőmotor a teljes rendszer Linux-memóriájának pillanatfelvételeit használja, és kivonja a rendszerobjektumok felsorolását. Néhány kernel hook azonosítás automatikusan végrehajtódik; ezt az elemzők használhatják új rootkitek kimutatására. Az elemző portál prototípus formájában nyilvános használatra elérhető: https://freta.azurewebsites.net.
A prototípus portál számos típusú memória-pillanatfelvételt támogat bemenetként. Jelenleg csak egy Hyper-V ellenőrzőpontot értékeltek ki, hogy ésszerű közelítést adjon a megbízható érzékeléshez szükséges „meglepetés eleméről”:
- VMRS-fájl létrehozásához használja a Hyper-V ellenőrzőpont szolgáltatást
- VMWare-pillanatkép konvertálása CORE-fájl létrehozásához
- Kivonja a memóriát egy futó rendszerből AVML használatával
- Kivonja a memóriát egy futó rendszerből a LiME segítségével
Az Azure-ban futó virtuális gépek memóriapillanatfelvételei készíthetők egy speciális érzékelővel, amely lehetővé teszi a példány memóriájának rögzítését és áthelyezését egy offline területre elemzés céljából anélkül, hogy leállítaná a végrehajtást.
A 2019 telén elkészült érzékelőképesség jelenleg csak a Microsoft számára érhető el kutatók, és nincs bevetve a Microsoft egyik kereskedelmi felhőjébe sem – vezetői tájékoztatók és bemutatók elérhető. Ez az érzékelő a Freta elemző környezettel párosulva bemutatja az utat a nagyvállalatok (10 000+ virtuális gép) olcsó, automatizált memória-kriminalisztikai ellenőrzéséhez.
Amikor az elemzés befejeződött, a Project Freta jelentést készít. A jelentés adatai a REST API-n és a Pythonon keresztül is beszerezhetők.
A jelentés tartalmazza a rendszerobjektumok felsorolását a mintavétel időtartama alatt:
- Globális értékek és címek
- Hibakeresési folyamatok
- A memóriában lévő fájlok
- Kernel megszakítási tábla
- Kernel modulok
- Kernel syscall tábla
- Hálózatok
- Nyissa meg a fájlokat
- ARP asztal (arp)
- Nyissa ki az aljzatokat
- Folyamatok
- Unix socket (lsof)
