Project Freta של מיקרוסופט נועד לעצור תוכנות זדוניות ב-Azure

Project Freta הוא פרויקט מחקר חדש של מיקרוסופט שמציג פלטפורמה פורנזית של מכונות וירטואליות (VM) שעוצרת תוכנות זדוניות. משתמשים יוכלו להשתמש ב-Freta כדי למצוא תוכנות זדוניות בענן.

מכיוון שפרויקט Freta מגיע מ-Microsoft Research, החברה מסווגת אותו כ'הדגמה טכנולוגית'.

הוא לוכד תמונת מצב של VM (תומך ב-Hyper-V ו-VMWare), ולאחר מכן בודק את התוכן שלו לאיתור קיום תוכנות זדוניות. כדי להשיג פונקציונליות זו, המשתמש צריך להיכנס לאתר האינטרנט של Project Freta ולאחר מכן לשלוח תמונות VM המשמשות באזור Azure המיוחד.

ה הודעה רשמית אומר:

מנוע הניתוח של Project Freta צורך צילומי מצב של זיכרון נדיף של מערכת Linux ומחלץ ספירה של אובייקטי מערכת. זיהוי גרעין מסויים מבוצע באופן אוטומטי; זה יכול לשמש אנליסטים כדי לזהות ערכות שורש חדשות. פורטל הניתוח זמין בצורת אב טיפוס לשימוש הציבור: https://freta.azurewebsites.net.

פורטל אב הטיפוס תומך בסוגים רבים של צילומי זיכרון כקלט. נכון לעכשיו, רק מחסום Hyper-V הוערך כדי לספק הערכה סבירה של "אלמנט ההפתעה" הדרוש להשגת חישה מהימנה:

• השתמש בתכונה Hyper-V checkpoint כדי לייצר קובץ VMRS
• המר תמונת מצב של VMWare להפקת קובץ CORE
• חלץ זיכרון מתוך מערכת פועלת באמצעות AVML
• חלץ זיכרון מתוך מערכת פועלת באמצעות LiME

צילומי זיכרון ל-VM פועל ב-Azure ניתן לצלם עם חיישן מיוחד שיאפשר ללכוד ולהעביר את זיכרון המופע לאזור לא מקוון לצורך ניתוח מבלי לעצור את ביצועו.

הושלמה בחורף 2019, יכולת החיישן הזו זמינה כרגע רק למיקרוסופט חוקרים ואינו נכלל באף אחד מהעננים המסחריים של מיקרוסופט - תדרוכים והדגמות מנהלים זמין. חיישן זה, יחד עם סביבת הניתוח של Freta, מדגים נתיב לביקורות פורנזיות זיכרון זולות ואוטומטיות של ארגונים גדולים (10,000+ VMs).

בסיום הניתוח, Project Freta יצור דוח. ניתן לקבל את נתוני הדוח גם באמצעות REST API ו-Python.

הדוח מכיל ספירה של אובייקטי מערכת לאורך המרווח שבמהלכו נלקחה הדגימה:

• ערכים וכתובות גלובליות
• תהליכי ניפוי באגים
• קבצים בזיכרון
• טבלת הפסקות ליבה
• מודולי ליבה
• טבלת מערכות בסיס של ליבה
• רשתות
• קבצים פתוחים
• טבלת ARP (arp)
• פתחו שקעים
• תהליכים
• שקעי יוניקס (LSOF)