Windows Tips & News

Microsoft's Project Freta is bedoeld om malware in Azure te stoppen

Dec 04, 2021

Diversen

0

click fraud protection
AANBEVOLEN: Klik hier om Windows-problemen op te lossen en de systeemprestaties te optimaliseren

Project Freta is een nieuw Microsoft Research-project dat een forensisch platform voor virtuele machines (VM) introduceert dat malware stopt. Gebruikers kunnen Freta gebruiken om kwaadaardige software in de cloud te vinden.

Project Freta Banner

Aangezien het Project Freta afkomstig is van Microsoft Research, classificeert het bedrijf het als een 'technologiedemonstratie'.

Advertentie

Het legt een momentopname van een VM vast (ondersteunt Hyper-V en VMWare) en inspecteert vervolgens de inhoud op het bestaan ​​van malware. Om deze functionaliteit te bereiken, moet de gebruiker zich aanmelden op de Project Freta-website en vervolgens VM-installatiekopieën indienen die in de speciale Azure-regio worden gebruikt.

De officiële aankondiging zegt:

De Project Freta-analyse-engine gebruikt momentopnamen van het vluchtige Linux-geheugen van het hele systeem en extraheert een opsomming van systeemobjecten. Sommige identificatie van kernel hooking wordt automatisch uitgevoerd; dit kan door analisten worden gebruikt om nieuwe rootkits te detecteren. Het analyseportaal is in prototypevorm beschikbaar voor openbaar gebruik:

https://freta.azurewebsites.net.

De prototypeportal ondersteunt vele soorten geheugensnapshots als invoer. Momenteel is alleen een Hyper-V-controlepunt geëvalueerd om een ​​redelijke benadering te geven van het "verrassingselement" dat nodig is om betrouwbare waarneming te bereiken:

  • Gebruik de Hyper-V checkpoint-functie om een ​​VMRS-bestand te maken
  • Converteer een VMWare-snapshot om een ​​CORE-bestand te maken
  • Geheugen extraheren vanuit een draaiend systeem met AVML
  • Geheugen extraheren vanuit een draaiend systeem met behulp van LiME

Geheugenmomentopnamen voor een actieve VM in Azure kunnen worden gemaakt met een speciale sensor waarmee het geheugen van de instantie kan worden vastgelegd en naar een offline gebied kan worden verplaatst voor analyse zonder de uitvoering ervan te stoppen.

Deze sensormogelijkheid is voltooid in de winter van 2019 en is momenteel alleen beschikbaar voor Microsoft onderzoekers en wordt niet opgenomen in een van de commerciële clouds van Microsoft - executive briefings en demo's zijn: beschikbaar. Deze sensor, in combinatie met de Freta-analyseomgeving, toont een pad naar goedkope, geautomatiseerde forensische geheugenaudits van grote ondernemingen (10.000+ VM's).

Wanneer de analyse is voltooid, maakt Project Freta een rapport. De rapportgegevens kunnen ook worden verkregen via REST API en Python.

Freta Rootkits-figuur bijgewerktV

Het rapport bevat een opsomming van systeemobjecten over het interval waarin het monster is genomen:

  • Globale waarden en adressen
  • Gedebugde processen
  • In-memory bestanden
  • Kernel-onderbrekingstabel
  • Kernelmodules
  • Kernel syscall tabel
  • Netwerken
  • Open bestanden
  • ARP-tabel (arp)
  • Open stopcontacten
  • Processen
  • Unix-sockets (lsof)
AANBEVOLEN: Klik hier om Windows-problemen op te lossen en de systeemprestaties te optimaliseren
Microsoft vertraagt ​​de release van Windows 10-updates in december 2020

Microsoft vertraagt ​​de release van Windows 10-updates in december 2020

Microsoft heeft aangekondigd dat het in december geen update-previews zal uitbrengen, aangezien h...

Lees verder

Installeer of verwijder Kladblok in Windows 10

Installeer of verwijder Kladblok in Windows 10

Kladblok installeren of verwijderen in Windows 10In recente versies bevat Windows 10 Kladblok in ...

Lees verder

Skype Screen Sharing is nu beschikbaar op Android en iOS

Skype Screen Sharing is nu beschikbaar op Android en iOS

Het team achter de mobiele versies van de Skype-app heeft vandaag de functie voor het delen van s...

Lees verder