Proiectul Freta de la Microsoft are scopul de a opri programele malware din Azure
Proiectul Freta este un nou proiect Microsoft Research care introduce o platformă criminalistică de mașină virtuală (VM) care oprește programele malware. Utilizatorii vor putea folosi Freta pentru a găsi software rău intenționat în cloud.
Deoarece Proiectul Freta provine de la Microsoft Research, compania îl clasifică drept „demonstrație de tehnologie”.
Captează un instantaneu al unui VM (accepta Hyper-V și VMWare), apoi inspectează conținutul acestuia pentru existența malware-ului. Pentru a realiza această funcționalitate, utilizatorul trebuie să se conecteze pe site-ul web Project Freta și apoi să trimită imagini VM utilizate în regiunea specială Azure.
The anunț oficial spune:
Motorul de analiză Project Freta consumă instantanee ale memoriei volatile Linux pentru întregul sistem și extrage o enumerare a obiectelor de sistem. O anumită identificare de agățare a nucleului este efectuată automat; aceasta poate fi folosită de analiști pentru a detecta noi rootkit-uri. Portalul de analiză este disponibil sub formă de prototip pentru uz public: https://freta.azurewebsites.net.
Portalul prototip acceptă multe tipuri de instantanee de memorie ca intrări. În prezent, doar un punct de control Hyper-V a fost evaluat pentru a oferi o aproximare rezonabilă a „elementului surpriză” necesar pentru a obține o detecție de încredere:
- Utilizați caracteristica punct de control Hyper-V pentru a produce un fișier VMRS
- Convertiți un instantaneu VMWare pentru a produce un fișier CORE
- Extrageți memoria dintr-un sistem care rulează folosind AVML
- Extrageți memoria dintr-un sistem care rulează folosind LiME
Instantaneele de memorie pentru o VM care rulează în Azure pot fi făcute cu un senzor special care va permite capturarea și mutarea memoriei instanței într-o zonă offline pentru analiză fără a opri execuția acesteia.
Finalizată în iarna lui 2019, această capacitate de senzor este în prezent disponibilă numai pentru Microsoft cercetători și nu este trimis la niciunul dintre cloud-urile comerciale ale Microsoft — briefing-urile executive și demonstrațiile sunt disponibil. Acest senzor, cuplat cu mediul de analiză Freta, demonstrează o cale către audituri criminalistice de memorie ieftine, automate ale întreprinderilor mari (10.000+ VM).
Când analiza este finalizată, Project Freta va crea un raport. Datele raportului pot fi obținute și prin API-ul REST și Python.
Raportul conține o enumerare a obiectelor de sistem pe intervalul în care a fost prelevat eșantionul:
- Valori și adrese globale
- Procese depanate
- Fișiere în memorie
- Tabelul de întreruperi ale nucleului
- Module kernel
- Tabelul de apeluri sistem kernel
- Rețele
- Deschideți fișierele
- tabel ARP (arp)
- Prize deschise
- Procese
- Prize Unix (lsof)
