O Project Freta da Microsoft tem como objetivo impedir malware no Azure
O Projeto Freta é um novo projeto de pesquisa da Microsoft que apresenta uma plataforma forense de máquina virtual (VM) que bloqueia o malware. Os usuários poderão utilizar o Freta para encontrar software malicioso na nuvem.
Como o Projeto Freta vem da Microsoft Research, a empresa classifica-o como uma 'demonstração de tecnologia'.
Ele captura um instantâneo de uma VM (suporta Hyper-V e VMWare) e, em seguida, inspeciona seu conteúdo para a existência de malware. Para obter essa funcionalidade, o usuário deve entrar no site do Project Freta e, em seguida, enviar imagens de VM usadas na região especial do Azure.
o anúncio oficial diz:
O mecanismo de análise do Project Freta consome instantâneos da memória volátil do Linux de todo o sistema e extrai uma enumeração dos objetos do sistema. Alguma identificação de kernel hooking é executada automaticamente; isso pode ser usado por analistas para detectar novos rootkits. O portal de análise está disponível em forma de protótipo para uso público: https://freta.azurewebsites.net.
O portal de protótipo oferece suporte a muitos tipos de instantâneos de memória como entradas. Atualmente, apenas um ponto de verificação do Hyper-V foi avaliado para fornecer uma aproximação razoável do “elemento surpresa” necessário para alcançar a detecção confiável:
- Use o recurso de ponto de verificação do Hyper-V para produzir um arquivo VMRS
- Converta um instantâneo VMWare para produzir um arquivo CORE
- Extraia memória de dentro de um sistema em execução usando AVML
- Extraia a memória de um sistema em execução usando LiME
Instantâneos de memória para uma VM em execução no Azure podem ser obtidos com um sensor especial que permitirá capturar e mover a memória da instância para uma área offline para análise sem interromper sua execução.
Concluído no inverno de 2019, este recurso de sensor está atualmente disponível apenas para a Microsoft pesquisadores e não está em campo para nenhuma das nuvens comerciais da Microsoft - briefings executivos e demos são acessível. Este sensor, juntamente com o ambiente de análise Freta, demonstra um caminho para auditorias forenses de memória baratas e automatizadas de grandes empresas (mais de 10.000 VMs).
Quando a análise estiver concluída, o Projeto Freta criará um relatório. Os dados do relatório também podem ser obtidos por meio da API REST e Python.
O relatório contém uma enumeração de objetos do sistema durante o intervalo durante o qual a amostra foi obtida:
- Valores e endereços globais
- Processos depurados
- Arquivos na memória
- Tabela de interrupção de kernel
- Módulos de kernel
- Tabela syscall do kernel
- Redes
- Abrir arquivos
- Tabela ARP (arp)
- Soquetes abertos
- Processos
- Soquetes Unix (lsof)
