Microsoftov Project Freta je namenjen zaustavitvi zlonamerne programske opreme v Azure
Project Freta je nov Microsoftov raziskovalni projekt, ki uvaja forenzično platformo virtualnih strojev (VM), ki ustavi zlonamerno programsko opremo. Uporabniki bodo lahko uporabili Freta za iskanje zlonamerne programske opreme v oblaku.
Ker projekt Freta prihaja iz Microsoft Research, ga podjetje uvršča med "predstavitev tehnologije".
Zajame posnetek navideznega računalnika (podpira Hyper-V in VMWare) in nato pregleda njegovo vsebino glede obstoja zlonamerne programske opreme. Za dosego te funkcije se mora uporabnik prijaviti na spletno mesto Project Freta in nato predložiti slike VM, ki se uporabljajo v posebni regiji Azure.
The uradno obvestilo pravi:
Motor za analizo Project Freta porabi posnetke hlapnega pomnilnika celotnega sistema Linux in ekstrahira naštevanje sistemskih objektov. Nekatera identifikacija povezovanja jedra se izvede samodejno; to lahko analitiki uporabijo za odkrivanje novih rootkitov. Portal za analizo je na voljo v prototipni obliki za javno uporabo: https://freta.azurewebsites.net.
Prototipni portal podpira številne vrste pomnilniških posnetkov kot vhode. Trenutno je bila ovrednotena samo kontrolna točka Hyper-V, da bi zagotovila razumen približek »elementa presenečenja«, ki je potreben za doseganje zaupanja vrednega zaznavanja:
- Za izdelavo datoteke VMRS uporabite funkcijo kontrolne točke Hyper-V
- Pretvorite posnetek VMWare, da ustvarite datoteko CORE
- Ekstrahirajte pomnilnik znotraj delujočega sistema z uporabo AVML
- Ekstrahirajte pomnilnik iz delujočega sistema z uporabo LiME
Posnetke pomnilnika za delujočo VM v Azure lahko posnamete s posebnim senzorjem, ki bo omogočil zajem in premik pomnilnika primerka v območje brez povezave za analizo, ne da bi ustavili njegovo izvajanje.
Ta senzorska zmogljivost, ki je bila dokončana pozimi 2019, je trenutno na voljo samo Microsoftu raziskovalci in ni na voljo v nobenem od Microsoftovih komercialnih oblakov – sestanki in predstavitve vodstvenih delavcev so na voljo. Ta senzor skupaj z analiznim okoljem Freta dokazuje pot do poceni, avtomatiziranih forenzičnih revizij pomnilnika velikih podjetij (10.000+ VM).
Ko je analiza končana, bo Project Freta ustvaril poročilo. Podatke poročila lahko pridobite tudi prek REST API-ja in Pythona.
Poročilo vsebuje naštevanje sistemskih objektov v intervalu, v katerem je bil vzorec odvzet:
- Globalne vrednote in naslovi
- Odpravljeni procesi
- Datoteke v pomnilniku
- Tabela prekinitev jedra
- Moduli jedra
- Tabela sistemskih klicev jedra
- omrežja
- Odprite datoteke
- ARP tabela (arp)
- Odprite vtičnice
- Procesi
- Unix vtičnice (lsof)