Il progetto Freta di Microsoft ha lo scopo di fermare il malware in Azure
Project Freta è un nuovo progetto di Microsoft Research che introduce una piattaforma forense di macchine virtuali (VM) che blocca il malware. Gli utenti potranno utilizzare Freta per trovare software dannoso nel cloud.
Poiché il progetto Freta proviene da Microsoft Research, l'azienda lo classifica come una "dimostrazione tecnologica".
Cattura un'istantanea di una VM (supporta Hyper-V e VMWare), quindi ne ispeziona il contenuto per verificare l'esistenza di malware. Per ottenere questa funzionalità, l'utente deve accedere al sito Web di Project Freta e quindi inviare le immagini delle macchine virtuali utilizzate nell'area speciale di Azure.
Il annuncio ufficiale dice:
Il motore di analisi di Project Freta consuma istantanee della memoria volatile di Linux dell'intero sistema ed estrae un'enumerazione di oggetti di sistema. Alcune identificazioni di hook del kernel vengono eseguite automaticamente; questo può essere utilizzato dagli analisti per rilevare nuovi rootkit. Il portale di analisi è disponibile in forma di prototipo per uso pubblico: https://freta.azurewebsites.net.
Il portale prototipo supporta molti tipi di snapshot di memoria come input. Attualmente, è stato valutato solo un checkpoint Hyper-V per fornire un'approssimazione ragionevole dell'"elemento di sorpresa" necessario per ottenere un rilevamento affidabile:
- Usa la funzione di checkpoint di Hyper-V per produrre un file VMRS
- Converti un'istantanea VMWare per produrre un file CORE
- Estrai la memoria da un sistema in esecuzione utilizzando AVML
- Estrai la memoria dall'interno di un sistema in esecuzione usando LiME
Gli snapshot della memoria per una macchina virtuale in esecuzione in Azure possono essere acquisiti con un sensore speciale che consentirà di acquisire e spostare la memoria dell'istanza in un'area offline per l'analisi senza interromperne l'esecuzione.
Completata nell'inverno del 2019, questa funzionalità del sensore è attualmente disponibile solo per Microsoft ricercatori e non è collegato a nessuno dei cloud commerciali di Microsoft: briefing e demo esecutivi sono a disposizione. Questo sensore, abbinato all'ambiente di analisi Freta, dimostra un percorso verso audit forensi della memoria automatizzati e economici di grandi aziende (oltre 10.000 VM).
Al termine dell'analisi, Project Freta creerà un report. I dati del report possono essere ottenuti anche tramite API REST e Python.
Il report contiene un'enumerazione di oggetti di sistema nell'intervallo durante il quale è stato prelevato il campione:
- Valori e indirizzi globali
- Processi sottoposti a debug
- File in memoria
- Tabella degli interrupt del kernel
- Moduli del kernel
- Tabella delle chiamate di sistema del kernel
- Reti
- Apri file
- Tabella ARP (arp)
- Prese aperte
- Processi
- Socket Unix (lsof)
