Project Freta Microsoft dimaksudkan untuk menghentikan malware di Azure
Project Freta adalah proyek Microsoft Research baru yang memperkenalkan platform forensik mesin virtual (VM) yang menghentikan malware. Pengguna akan dapat memanfaatkan Freta untuk menemukan perangkat lunak berbahaya di cloud.
Karena Project Freta berasal dari Microsoft Research, perusahaan mengklasifikasikannya sebagai 'demonstrasi teknologi'.
Ini menangkap snapshot dari VM (mendukung Hyper-V dan VMWare), dan kemudian memeriksa kontennya untuk keberadaan malware. Untuk mencapai fungsionalitas ini, pengguna harus masuk ke situs web Project Freta dan kemudian mengirimkan gambar VM yang digunakan di wilayah Azure khusus.
NS pengumuman resmi mengatakan:
Mesin analisis Project Freta menggunakan snapshot memori volatil Linux seluruh sistem dan mengekstrak enumerasi objek sistem. Beberapa identifikasi pengait kernel dilakukan secara otomatis; ini dapat digunakan oleh analis untuk mendeteksi rootkit baru. Portal analisis tersedia dalam bentuk prototipe untuk penggunaan umum: https://freta.azurewebsites.net.
Portal prototipe mendukung banyak jenis snapshot memori sebagai input. Saat ini, hanya pos pemeriksaan Hyper-V yang telah dievaluasi untuk memberikan perkiraan yang masuk akal tentang "elemen kejutan" yang diperlukan untuk mencapai penginderaan tepercaya:
- Gunakan fitur pos pemeriksaan Hyper-V untuk menghasilkan file VMRS
- Konversikan snapshot VMWare untuk menghasilkan file CORE
- Ekstrak memori dari dalam sistem yang sedang berjalan menggunakan AVML
- Ekstrak memori dari dalam sistem yang sedang berjalan menggunakan LiME
Snapshot memori untuk VM yang berjalan di Azure dapat diambil dengan sensor khusus yang memungkinkan untuk menangkap dan memindahkan memori instans ke area offline untuk analisis tanpa menghentikan eksekusinya.
Selesai pada musim dingin 2019, kemampuan sensor ini saat ini hanya tersedia untuk Microsoft peneliti dan tidak diterjunkan ke cloud komersial Microsoft mana pun — pengarahan dan demo eksekutif adalah tersedia. Sensor ini, ditambah dengan lingkungan analisis Freta, menunjukkan jalan menuju audit forensik memori otomatis yang murah untuk perusahaan besar (10.000+ VM).
Setelah analisis selesai, Project Freta akan membuat laporan. Data laporan juga dapat diperoleh melalui REST API dan Python.
Laporan berisi enumerasi objek sistem selama interval selama sampel diambil:
- Nilai dan alamat global
- Proses debug
- File dalam memori
- Tabel interupsi kernel
- Modul kernel
- Tabel syscall kernel
- jaringan
- Buka file
- Tabel ARP (arp)
- Buka soket
- Proses
- Soket Unix (lsof)
