Microsofts Project Freta er ment å stoppe skadelig programvare i Azure
Project Freta er et nytt Microsoft Research-prosjekt som introduserer en rettsmedisinsk plattform for virtuelle maskiner (VM) som stopper skadelig programvare. Brukere vil kunne bruke Freta til å finne skadelig programvare i skyen.
Siden Project Freta kommer fra Microsoft Research, klassifiserer selskapet det som en "teknologidemonstrasjon".
Den tar et øyeblikksbilde av en VM (støtter Hyper-V og VMWare), og inspiserer deretter innholdet for skadelig programvare. For å oppnå denne funksjonaliteten bør brukeren logge på Project Freta-nettstedet og deretter sende inn VM-bilder som brukes i den spesielle Azure-regionen.
De offisiell kunngjøring sier:
Project Freta-analysemotoren bruker øyeblikksbilder av flyktig Linux-minne i hele systemet og trekker ut en oppregning av systemobjekter. Noe kjerne-hooking-identifikasjon utføres automatisk; dette kan brukes av analytikere til å oppdage nye rootkits. Analyseportalen er tilgjengelig i prototypeform for offentlig bruk: https://freta.azurewebsites.net.
Prototypeportalen støtter mange typer minnesnapshots som innganger. Foreløpig er bare et Hyper-V-sjekkpunkt evaluert for å gi en rimelig tilnærming av "overraskelseselementet" som er nødvendig for å oppnå pålitelig sansing:
- Bruk Hyper-V-sjekkpunktfunksjonen til å lage en VMRS-fil
- Konverter et VMWare-øyeblikksbilde for å produsere en CORE-fil
- Trekk ut minne fra et kjørende system ved hjelp av AVML
- Trekk ut minne fra et kjørende system ved hjelp av LiME
Minneøyeblikksbilder for en kjørende VM i Azure kan tas med en spesiell sensor som gjør det mulig å fange opp og flytte forekomstens minne til et frakoblet område for analyse uten å stoppe kjøringen.
Fullført vinteren 2019, er denne sensorfunksjonen for øyeblikket bare tilgjengelig for Microsoft forskere og er ikke felt til noen av Microsofts kommersielle skyer – executive briefings og demoer er det tilgjengelig. Denne sensoren, kombinert med Freta-analysemiljøet, viser en vei til billige, automatiserte minnekriminaltekniske revisjoner av store bedrifter (10 000+ VM-er).
Når analysen er fullført, vil Project Freta lage en rapport. Rapportdataene kan også fås via REST API og Python.
Rapporten inneholder en oppregning av systemobjekter over intervallet prøven ble tatt:
- Globale verdier og adresser
- Feilsøkte prosesser
- Filer i minnet
- Kjerneavbruddstabell
- Kjernemoduler
- Kernel syscall-tabell
- Nettverk
- Åpne filer
- ARP-tabell (arp)
- Åpne stikkontakter
- Prosesser
- Unix-stikkontakter (lsof)
