Microsoft Project Freta ir paredzēts, lai apturētu ļaunprātīgu programmatūru Azure

Project Freta ir jauns Microsoft Research projekts, kas ievieš virtuālās mašīnas (VM) kriminālistikas platformu, kas aptur ļaunprātīgu programmatūru. Lietotāji varēs izmantot Freta, lai mākonī atrastu ļaunprātīgu programmatūru.

Tā kā Project Freta nāk no Microsoft Research, uzņēmums to klasificē kā "tehnoloģiju demonstrāciju".

Tas tver virtuālās mašīnas momentuzņēmumu (atbalsta Hyper-V un VMWare) un pēc tam pārbauda, ​​vai tā saturs nav ļaunprātīgas programmatūras. Lai sasniegtu šo funkcionalitāti, lietotājam ir jāpierakstās Project Freta vietnē un pēc tam jāiesniedz VM attēli, kas tiek izmantoti īpašajā Azure reģionā.

The oficiālais paziņojums saka:

Projekta Freta analīzes programma patērē visas sistēmas Linux nepastāvīgās atmiņas momentuzņēmumus un izvelk sistēmas objektu uzskaitījumu. Daļa kodola piesaistes identifikācijas tiek veikta automātiski; to var izmantot analītiķi, lai atklātu jaunus sakņu komplektus. Analīzes portāls ir pieejams publiskai lietošanai prototipa formā: https://freta.azurewebsites.net.

Portāla prototips atbalsta daudzu veidu atmiņas momentuzņēmumus kā ievadi. Pašlaik ir novērtēts tikai Hyper-V kontrolpunkts, lai nodrošinātu saprātīgu tuvinājumu “pārsteiguma elementam”, kas nepieciešams, lai panāktu uzticamu sensoru:

• Izmantojiet Hyper-V kontrolpunkta līdzekli, lai izveidotu VMRS failu
• Konvertējiet VMWare momentuzņēmumu, lai izveidotu CORE failu
• Izņemiet atmiņu no darbojas sistēmas, izmantojot AVML
• Izņemiet atmiņu no darbojas sistēmas, izmantojot LiME

Atmiņas momentuzņēmumus darbinātai virtuālajai mašīnai Azure var uzņemt ar īpašu sensoru, kas ļaus tvert un pārvietot instances atmiņu uz bezsaistes apgabalu analīzei, neapturot tās izpildi.

Šī sensora iespēja, kas tika pabeigta 2019. gada ziemā, pašlaik ir pieejama tikai Microsoft pētniekiem un nav pakļauts nevienam no Microsoft komerciālajiem mākoņiem — tas ir vadītāju instruktāžas un demonstrācijas pieejams. Šis sensors kopā ar Freta analīzes vidi parāda ceļu uz lētu, automatizētu atmiņas kriminālistikas auditu lielos uzņēmumos (10 000+ VM).

Kad analīze ir pabeigta, Project Freta izveidos pārskatu. Pārskata datus var iegūt arī, izmantojot REST API un Python.

Ziņojumā ir iekļauts sistēmas objektu uzskaitījums laika posmā, kurā tika ņemts paraugs:

• Globālās vērtības un adreses
• Atkļūdoti procesi
• Atmiņā esošie faili
• Kodola pārtraukumu tabula
• Kodola moduļi
• Kodola syscall tabula
• Tīkli
• Atveriet failus
• ARP tabula (ARP)
• Atveriet kontaktligzdas
• Procesi
• Unix ligzdas (lsof)