„Microsoft“ projektas „Freta“ skirtas sustabdyti kenkėjiškas programas „Azure“.
„Project Freta“ yra naujas „Microsoft Research“ projektas, kuriame pristatoma virtualios mašinos (VM) teismo ekspertizės platforma, kuri sustabdo kenkėjiškas programas. Vartotojai galės naudoti „Freta“, kad debesyje rastų kenkėjišką programinę įrangą.
Kadangi „Project Freta“ yra iš „Microsoft Research“, bendrovė jį priskiria „technologijų demonstravimui“.
Skelbimas
Jis užfiksuoja momentinę VM nuotrauką (palaiko „Hyper-V“ ir „VMWare“) ir patikrina, ar jos turinyje nėra kenkėjiškų programų. Kad pasiektų šią funkciją, vartotojas turi prisijungti prie Project Freta svetainės ir pateikti specialiajame Azure regione naudojamus VM vaizdus.
The oficialus pranešimas sako:
Projekto Freta analizės variklis naudoja visos sistemos Linux nepastovios atminties momentines nuotraukas ir ištraukia sistemos objektų sąrašą. Kai kurios branduolio pajungimo identifikavimas atliekamas automatiškai; tai gali naudoti analitikai, norėdami aptikti naujus šaknų rinkinius. Analizės portalas yra prieinamas prototipo forma viešam naudojimui:
https://freta.azurewebsites.net.Portalo prototipas palaiko daugelio tipų atminties momentines nuotraukas kaip įvestis. Šiuo metu buvo įvertintas tik „Hyper-V“ kontrolinis taškas, kad būtų galima pagrįstai apytiksliai įvertinti „staigmenos elementą“, reikalingą patikimam jutimui pasiekti:
- Norėdami sukurti VMRS failą, naudokite „Hyper-V“ patikros taško funkciją
- Konvertuokite VMWare momentinį vaizdą, kad būtų sukurtas CORE failas
- Ištraukite atmintį iš veikiančios sistemos naudodami AVML
- Ištraukite atmintį iš veikiančios sistemos naudodami LiME
„Azure“ veikiančios VM atminties momentinės nuotraukos gali būti daromos naudojant specialų jutiklį, kuris leis užfiksuoti ir perkelti egzemplioriaus atmintį į neprisijungusią sritį analizei nestabdant vykdymo.
Ši jutiklio galimybė, baigta 2019 m. žiemą, šiuo metu prieinama tik „Microsoft“. tyrėjai ir nėra nukreiptas į jokį „Microsoft“ komercinį debesį – tai yra vadovų instruktažai ir demonstracinės versijos prieinama. Šis jutiklis kartu su „Freta“ analizės aplinka parodo kelią į pigų, automatizuotą didelių įmonių (10 000 ir daugiau VM) atminties teismo ekspertizę.
Kai analizė bus baigta, Project Freta sukurs ataskaitą. Ataskaitos duomenis taip pat galima gauti naudojant REST API ir Python.
Ataskaitoje pateikiamas sistemos objektų sąrašas per laikotarpį, per kurį buvo paimtas mėginys:
- Pasaulinės vertybės ir adresai
- Derinami procesai
- Atmintyje esantys failai
- Branduolio pertraukimų lentelė
- Branduolio moduliai
- Branduolio syscall lentelė
- Tinklai
- Atidaryti failus
- ARP lentelė (arp)
- Atidarykite lizdus
- Procesai
- „Unix“ lizdai (lsof)