Projekt Freta od Microsoftu je určený na zastavenie malvéru v Azure
Projekt Freta je nový výskumný projekt spoločnosti Microsoft, ktorý predstavuje forenznú platformu virtuálneho stroja (VM), ktorá zastavuje malvér. Používatelia budú môcť využiť Fretu na nájdenie škodlivého softvéru v cloude.
Keďže projekt Freta pochádza od spoločnosti Microsoft Research, spoločnosť ho klasifikuje ako „technologickú demonštráciu“.
Zachytí snímku virtuálneho počítača (podporuje Hyper-V a VMWare) a potom skontroluje jeho obsah na prítomnosť škodlivého softvéru. Na dosiahnutie tejto funkcie by sa mal používateľ prihlásiť na webovú stránku projektu Freta a potom odoslať obrazy virtuálnych počítačov používané v špeciálnej oblasti Azure.
The oficiálne oznámenie hovorí:
Analytický nástroj Project Freta spotrebúva snímky volatilnej pamäte celého systému Linuxu a extrahuje zoznam systémových objektov. Určitá identifikácia háčkovania jadra sa vykonáva automaticky; toto môžu analytici použiť na detekciu nových rootkitov. Analytický portál je dostupný vo forme prototypu na verejné použitie: https://freta.azurewebsites.net.
Prototypový portál podporuje mnoho typov pamäťových snímok ako vstupov. V súčasnosti bol hodnotený iba kontrolný bod Hyper-V, ktorý poskytuje primeranú aproximáciu „prvku prekvapenia“ potrebného na dosiahnutie dôveryhodného snímania:
- Na vytvorenie súboru VMRS použite funkciu kontrolného bodu Hyper-V
- Preveďte snímku VMWare na vytvorenie súboru CORE
- Extrahujte pamäť z bežiaceho systému pomocou AVML
- Extrahujte pamäť z bežiaceho systému pomocou LiME
Snímky pamäte pre spustený VM v Azure je možné robiť pomocou špeciálneho senzora, ktorý umožní zachytiť a presunúť pamäť inštancie do offline oblasti na analýzu bez zastavenia jej vykonávania.
Táto funkcia senzora, ktorá bola dokončená v zime 2019, je momentálne k dispozícii iba spoločnosti Microsoft výskumníkov a nie je pripojená k žiadnemu z komerčných cloudov spoločnosti Microsoft – brífingy a ukážky vedúcich pracovníkov áno k dispozícii. Tento senzor v spojení s prostredím analýzy Freta demonštruje cestu k lacným, automatizovaným forenzným auditom pamäte veľkých podnikov (viac ako 10 000 VM).
Po dokončení analýzy Project Freta vytvorí správu. Údaje zo zostavy je možné získať aj cez REST API a Python.
Správa obsahuje zoznam systémových objektov za interval, počas ktorého bola vzorka odobratá:
- Globálne hodnoty a adresy
- Odladené procesy
- Súbory v pamäti
- Tabuľka prerušení jadra
- Moduly jadra
- Tabuľka systémového volania jadra
- siete
- Otvorte súbory
- ARP tabuľka (arp)
- Otvorte zásuvky
- Procesy
- Unixové sokety (lsof)
