Microsoft Project Freta призвана остановить вредоносное ПО в Azure
Project Freta - это новый исследовательский проект Microsoft, который представляет платформу судебной экспертизы виртуальных машин (ВМ), которая останавливает вредоносное ПО. Пользователи смогут использовать Freta для поиска вредоносного ПО в облаке.
Поскольку проект Freta разработан Microsoft Research, компания классифицирует его как «демонстрацию технологий».
Он делает снимок виртуальной машины (поддерживает Hyper-V и VMWare), а затем проверяет его содержимое на наличие вредоносных программ. Для достижения этой функции пользователь должен войти в систему на веб-сайте Project Freta, а затем отправить образы виртуальных машин, используемые в специальном регионе Azure.
В официальное объявление говорит:
Механизм анализа Project Freta использует моментальные снимки энергозависимой памяти Linux всей системы и извлекает список системных объектов. Определенная идентификация перехвата ядра выполняется автоматически; это может быть использовано аналитиками для обнаружения новых руткитов. Портал анализа доступен в виде прототипа для публичного использования: https://freta.azurewebsites.net.
Портал-прототип поддерживает множество типов снимков памяти в качестве входных данных. В настоящее время проверена только контрольная точка Hyper-V, чтобы обеспечить разумное приближение к «элементу неожиданности», необходимому для достижения надежного распознавания:
- Используйте функцию контрольной точки Hyper-V для создания файла VMRS
- Преобразование моментального снимка VMWare для создания файла CORE
- Извлечь память из работающей системы с помощью AVML
- Извлечение памяти из работающей системы с помощью LiME
Моментальные снимки памяти для работающей виртуальной машины в Azure можно делать с помощью специального датчика, который позволит захватывать и перемещать память экземпляра в автономную область для анализа, не останавливая его выполнение.
Завершенный зимой 2019 года, этот датчик в настоящее время доступен только Microsoft. исследователей и не направляется ни в одно из коммерческих облаков Microsoft - брифинги для руководителей и демонстрации доступный. Этот датчик в сочетании со средой анализа Freta демонстрирует путь к дешевым автоматизированным судебным аудитам памяти крупных предприятий (более 10 000 виртуальных машин).
По завершении анализа Project Freta создаст отчет. Данные отчета также можно получить через REST API и Python.
Отчет содержит перечисление системных объектов за интервал взятия пробы:
- Глобальные ценности и адреса
- Отлаженные процессы
- Файлы в памяти
- Таблица прерываний ядра
- Модули ядра
- Таблица системных вызовов ядра
- Сети
- Открытые файлы
- Таблица ARP (arp)
- Открытые розетки
- Процессы
- Сокеты Unix (lsof)