Microsoft의 Project Freta는 Azure에서 맬웨어를 차단하기 위한 것입니다.

Project Freta는 맬웨어를 차단하는 가상 머신(VM) 포렌식 플랫폼을 도입한 Microsoft Research의 새로운 프로젝트입니다. 사용자는 Freta를 활용하여 클라우드에서 악성 소프트웨어를 찾을 수 있습니다.

Project Freta는 Microsoft Research에서 나온 것이기 때문에 회사에서는 이를 '기술 데모'로 분류합니다.

VM(Hyper-V 및 VMWare 지원)의 스냅샷을 캡처한 다음 해당 콘텐츠에 맬웨어가 있는지 검사합니다. 이 기능을 사용하려면 사용자가 Project Freta 웹 사이트에 로그인한 다음 특수 Azure 지역에서 사용되는 VM 이미지를 제출해야 합니다.

NS 공식 발표 말한다:

Project Freta 분석 엔진은 전체 시스템 Linux 휘발성 메모리의 스냅샷을 사용하고 시스템 개체의 열거를 추출합니다. 일부 커널 후킹 식별은 자동으로 수행됩니다. 이것은 분석가가 새로운 루트킷을 탐지하는 데 사용할 수 있습니다. 분석 포털은 공개용 프로토타입 형식으로 제공됩니다. https://freta.azurewebsites.net.

프로토타입 포털은 다양한 유형의 메모리 스냅샷을 입력으로 지원합니다. 현재, 신뢰할 수 있는 감지를 달성하는 데 필요한 "놀라움의 요소"에 대한 합리적인 근사치를 제공하기 위해 Hyper-V 체크포인트만 평가되었습니다.

• Hyper-V 검사점 기능을 사용하여 VMRS 파일 생성
• VMWare 스냅샷을 변환하여 CORE 파일 생성
• AVML을 사용하여 실행 중인 시스템 내에서 메모리 추출
• LiME를 사용하여 실행 중인 시스템 내에서 메모리 추출

Azure에서 실행 중인 VM에 대한 메모리 스냅샷은 실행을 중지하지 않고 분석을 위해 인스턴스의 메모리를 캡처하고 오프라인 영역으로 이동할 수 있는 특수 센서를 사용하여 만들 수 있습니다.

2019년 겨울에 완성된 이 센서 기능은 현재 Microsoft에서만 사용할 수 있습니다. 연구원이며 Microsoft의 상용 클라우드에 배치되지 않았습니다. 경영진 브리핑 및 데모는 사용 가능. Freta 분석 환경과 결합된 이 센서는 대기업(10,000개 이상의 VM)에 대한 저렴하고 자동화된 메모리 포렌식 감사의 경로를 보여줍니다.

분석이 완료되면 프로젝트 프레타에서 보고서를 생성합니다. 보고서 데이터는 REST API 및 Python을 통해서도 얻을 수 있습니다.

보고서에는 샘플을 채취한 간격 동안의 시스템 개체 열거가 포함됩니다.

• 전역 값 및 주소
• 디버깅된 프로세스
• 메모리 내 파일
• 커널 인터럽트 테이블
• 커널 모듈
• 커널 시스템 호출 테이블
• 네트워크
• 파일 열기
• ARP 테이블(arp)
• 오픈 소켓
• 프로세스
• 유닉스 소켓(lsof)