Microsoft's Project Freta is bedoeld om malware in Azure te stoppen
Project Freta is een nieuw Microsoft Research-project dat een forensisch platform voor virtuele machines (VM) introduceert dat malware stopt. Gebruikers kunnen Freta gebruiken om kwaadaardige software in de cloud te vinden.
Aangezien het Project Freta afkomstig is van Microsoft Research, classificeert het bedrijf het als een 'technologiedemonstratie'.
Het legt een momentopname van een VM vast (ondersteunt Hyper-V en VMWare) en inspecteert vervolgens de inhoud op het bestaan van malware. Om deze functionaliteit te bereiken, moet de gebruiker zich aanmelden op de Project Freta-website en vervolgens VM-installatiekopieën indienen die in de speciale Azure-regio worden gebruikt.
De officiële aankondiging zegt:
De Project Freta-analyse-engine gebruikt momentopnamen van het vluchtige Linux-geheugen van het hele systeem en extraheert een opsomming van systeemobjecten. Sommige identificatie van kernel hooking wordt automatisch uitgevoerd; dit kan door analisten worden gebruikt om nieuwe rootkits te detecteren. Het analyseportaal is in prototypevorm beschikbaar voor openbaar gebruik:
https://freta.azurewebsites.net.De prototypeportal ondersteunt vele soorten geheugensnapshots als invoer. Momenteel is alleen een Hyper-V-controlepunt geëvalueerd om een redelijke benadering te geven van het "verrassingselement" dat nodig is om betrouwbare waarneming te bereiken:
- Gebruik de Hyper-V checkpoint-functie om een VMRS-bestand te maken
- Converteer een VMWare-snapshot om een CORE-bestand te maken
- Geheugen extraheren vanuit een draaiend systeem met AVML
- Geheugen extraheren vanuit een draaiend systeem met behulp van LiME
Geheugenmomentopnamen voor een actieve VM in Azure kunnen worden gemaakt met een speciale sensor waarmee het geheugen van de instantie kan worden vastgelegd en naar een offline gebied kan worden verplaatst voor analyse zonder de uitvoering ervan te stoppen.
Deze sensormogelijkheid is voltooid in de winter van 2019 en is momenteel alleen beschikbaar voor Microsoft onderzoekers en wordt niet opgenomen in een van de commerciële clouds van Microsoft - executive briefings en demo's zijn: beschikbaar. Deze sensor, in combinatie met de Freta-analyseomgeving, toont een pad naar goedkope, geautomatiseerde forensische geheugenaudits van grote ondernemingen (10.000+ VM's).
Wanneer de analyse is voltooid, maakt Project Freta een rapport. De rapportgegevens kunnen ook worden verkregen via REST API en Python.
Het rapport bevat een opsomming van systeemobjecten over het interval waarin het monster is genomen:
- Globale waarden en adressen
- Gedebugde processen
- In-memory bestanden
- Kernel-onderbrekingstabel
- Kernelmodules
- Kernel syscall tabel
- Netwerken
- Open bestanden
- ARP-tabel (arp)
- Open stopcontacten
- Processen
- Unix-sockets (lsof)
