Projekt Freta firmy Microsoft ma na celu powstrzymanie złośliwego oprogramowania na platformie Azure
Project Freta to nowy projekt Microsoft Research, który wprowadza platformę kryminalistyczną maszyn wirtualnych (VM), która zatrzymuje złośliwe oprogramowanie. Użytkownicy będą mogli wykorzystać Fretę do wyszukiwania złośliwego oprogramowania w chmurze.
Ponieważ Project Freta pochodzi z Microsoft Research, firma klasyfikuje go jako „demonstrację technologii”.
Przechwytuje migawkę maszyny wirtualnej (obsługuje Hyper-V i VMWare), a następnie sprawdza jej zawartość pod kątem obecności złośliwego oprogramowania. Aby osiągnąć tę funkcjonalność, użytkownik powinien zalogować się w witrynie internetowej Project Freta, a następnie przesłać obrazy maszyn wirtualnych używanych w specjalnym regionie Azure.
ten oficjalne ogłoszenie mówi:
Silnik analizy Project Freta wykorzystuje migawki pamięci ulotnej całego systemu Linux i wyodrębnia wyliczenie obiektów systemowych. Pewna identyfikacja zaczepienia jądra jest wykonywana automatycznie; może to być wykorzystane przez analityków do wykrywania nowych rootkitów. Portal analityczny jest dostępny w formie prototypu do użytku publicznego:
https://freta.azurewebsites.net.Portal prototypowy obsługuje wiele typów migawek pamięci jako danych wejściowych. Obecnie oceniono tylko punkt kontrolny Hyper-V, aby zapewnić rozsądne przybliżenie „elementu zaskoczenia” niezbędnego do uzyskania zaufanego wykrywania:
- Użyj funkcji punktu kontrolnego Hyper-V, aby utworzyć plik VMRS
- Konwertuj migawkę VMWare, aby utworzyć plik CORE
- Wyodrębnij pamięć z działającego systemu za pomocą AVML
- Wyodrębnij pamięć z działającego systemu za pomocą LiME
Migawki pamięci dla działającej maszyny wirtualnej na platformie Azure można wykonać za pomocą specjalnego czujnika, który pozwoli przechwycić i przenieść pamięć instancji do obszaru offline w celu analizy bez zatrzymywania jej wykonywania.
Ta funkcja czujnika, ukończona zimą 2019 r., jest obecnie dostępna tylko dla firmy Microsoft badacze i nie jest wystawiany w żadnej komercyjnej chmurze firmy Microsoft — briefingi wykonawcze i demonstracje są do dyspozycji. Ten czujnik, w połączeniu ze środowiskiem analizy Freta, wskazuje drogę do tanich, zautomatyzowanych audytów kryminalistycznych dotyczących pamięci w dużych przedsiębiorstwach (ponad 10 000 maszyn wirtualnych).
Po zakończeniu analizy Project Freta utworzy raport. Dane raportu można również uzyskać za pośrednictwem REST API i Pythona.
Raport zawiera wyliczenie obiektów systemowych w przedziale czasu, w którym pobrano próbkę:
- Globalne wartości i adresy
- Debugowane procesy
- Pliki w pamięci
- Tablica przerwań jądra
- Moduły jądra
- Tabela wywołań systemowych jądra
- Sieci
- Otwórz pliki
- Stół ARP (arp)
- Otwarte gniazda
- Procesy
- Gniazda Unix (lsof)