Microsoft-ის პროექტი Freta გამიზნულია Azure-ში მავნე პროგრამების შესაჩერებლად

Project Freta არის ახალი Microsoft Research პროექტი, რომელიც წარმოგიდგენთ ვირტუალურ მანქანას (VM) სასამართლო ექსპერტიზის პლატფორმას, რომელიც აჩერებს მავნე პროგრამას. მომხმარებლებს შეეძლებათ გამოიყენონ Freta ღრუბელში მავნე პროგრამული უზრუნველყოფის მოსაძებნად.

როგორც Project Freta მოდის Microsoft Research-იდან, კომპანია მას კლასიფიცირებს როგორც "ტექნოლოგიის დემონსტრირება".

ის იღებს VM-ის სურათს (მხარდაჭერილია Hyper-V და VMWare) და შემდეგ ამოწმებს მის შინაარსს მავნე პროგრამის არსებობაზე. ამ ფუნქციის მისაღწევად, მომხმარებელი უნდა შევიდეს Project Freta ვებსაიტზე და შემდეგ წარადგინოს VM სურათები, რომლებიც გამოიყენება სპეციალურ Azure რეგიონში.

The ოფიციალური განცხადება ამბობს:

Project Freta ანალიზის ძრავა მოიხმარს მთელი სისტემის ლინუქსის არასტაბილური მეხსიერების სურათებს და ამოიღებს სისტემის ობიექტების ჩამონათვალს. ზოგიერთი ბირთვის დამაგრების იდენტიფიკაცია ხდება ავტომატურად; ეს შეიძლება გამოყენებულ იქნას ანალიტიკოსების მიერ ახალი rootkits-ის გამოსავლენად. ანალიზის პორტალი ხელმისაწვდომია პროტოტიპის სახით საჯარო გამოყენებისთვის:

https://freta.azurewebsites.net.

პროტოტიპის პორტალი მხარს უჭერს მრავალი ტიპის მეხსიერების სნეპშოტებს, როგორც შეყვანას. ამჟამად, მხოლოდ Hyper-V გამშვები პუნქტი არის შეფასებული, რათა უზრუნველყოს "სიურპრიზის ელემენტის" გონივრული მიახლოება, რომელიც აუცილებელია სანდო ზონდირების მისაღწევად:

• გამოიყენეთ Hyper-V გამშვები პუნქტის ფუნქცია VMRS ფაილის შესაქმნელად
• გადააკეთეთ VMWare სნეპშოტი CORE ფაილის შესაქმნელად
• ამოიღეთ მეხსიერება გაშვებული სისტემისგან AVML-ის გამოყენებით
• ამოიღეთ მეხსიერება გაშვებული სისტემისგან LiME-ის გამოყენებით

Azure-ში გაშვებული VM-ის მეხსიერების კადრები შეიძლება გადაიღოთ სპეციალური სენსორით, რომელიც საშუალებას მოგცემთ გადაიტანოთ და გადაიტანოთ მაგალითის მეხსიერება ოფლაინ ზონაში ანალიზისთვის მისი შესრულების შეწყვეტის გარეშე.

დასრულებულია 2019 წლის ზამთარში, სენსორის ეს შესაძლებლობა ამჟამად ხელმისაწვდომია მხოლოდ Microsoft-ისთვის მკვლევარები და არ არის მიჩნეული Microsoft-ის არცერთ კომერციულ ღრუბელში - აღმასრულებელი ბრიფინგები და დემოები ხელმისაწვდომი. ეს სენსორი, Freta საანალიზო გარემოსთან ერთად, აჩვენებს გზას მსხვილი საწარმოების იაფი, ავტომატური მეხსიერების სასამართლო აუდიტისკენ (10000+ VM).

როდესაც ანალიზი დასრულდება, პროექტი Freta შექმნის ანგარიშს. ანგარიშის მონაცემების მიღება ასევე შესაძლებელია REST API და Python-ის საშუალებით.

მოხსენება შეიცავს სისტემის ობიექტების ჩამოთვლას იმ ინტერვალში, რომლის დროსაც ნიმუში იქნა აღებული:

• გლობალური ღირებულებები და მისამართები
• გამართული პროცესები
• მეხსიერების ფაილები
• ბირთვის შეწყვეტის ცხრილი
• ბირთვის მოდულები
• Kernel syscall ცხრილი
• ქსელები
• გახსენით ფაილები
• ARP მაგიდა (arp)
• გახსენით სოკეტები
• პროცესები
• Unix სოკეტები (lsof)