Мицрософтов пројекат Фрета је намењен да заустави малвер у Азуре-у
Пројецт Фрета је нови Мицрософт истраживачки пројекат који уводи форензичку платформу виртуелне машине (ВМ) која зауставља малвер. Корисници ће моћи да користе Фрета да пронађу злонамерни софтвер у облаку.
Како пројекат Фрета долази из Мицрософт Ресеарцх-а, компанија га класификује као „демонстрацију технологије“.
Он снима снимак ВМ-а (подржава Хипер-В и ВМВаре), а затим проверава његов садржај да ли постоји злонамерни софтвер. Да би постигао ову функционалност, корисник треба да се пријави на веб локацију Пројецт Фрета, а затим да пошаље слике ВМ-а које се користе у посебном Азуре региону.
Тхе званично саопштење каже:
Механизам за анализу Пројецт Фрета користи снимке читавог система Линук нестабилне меморије и издваја набрајање системских објеката. Нека идентификација повезивања језгра се обавља аутоматски; ово могу користити аналитичари за откривање нових руткита. Портал за анализу доступан је у облику прототипа за јавну употребу: https://freta.azurewebsites.net.
Прототипски портал подржава многе типове меморијских снимака као улаза. Тренутно је процењена само Хипер-В контролна тачка да би се обезбедила разумна апроксимација „елемента изненађења“ неопходног за постизање поузданог сенсинга:
- Користите функцију контролне тачке Хипер-В да бисте направили ВМРС датотеку
- Конвертујте ВМВаре снимак да бисте произвели ЦОРЕ датотеку
- Извуците меморију из система који ради користећи АВМЛ
- Извуците меморију из система који ради користећи ЛиМЕ
Снимци меморије за покренути ВМ у Азуре-у могу се снимити помоћу специјалног сензора који ће омогућити снимање и премештање меморије инстанце у офлајн област ради анализе без заустављања њеног извршавања.
Завршена у зиму 2019. године, ова могућност сензора је тренутно доступна само за Мицрософт истраживачи и није распоређен ни у једном од Мицрософтових комерцијалних облака – брифинзи и демонстрације извршних директора су доступан. Овај сензор, заједно са окружењем за анализу Фрета, показује пут до јефтиних, аутоматизованих форензичких ревизија меморије великих предузећа (10.000+ ВМ).
Када се анализа заврши, Пројецт Фрета ће направити извештај. Подаци извештаја се такође могу добити преко РЕСТ АПИ-ја и Питхон-а.
Извештај садржи набрајање системских објеката током интервала током којег је узорак узет:
- Глобалне вредности и адресе
- Отклоњени процеси
- Датотеке у меморији
- Табела прекида кернела
- Модули кернела
- Табела системског позива кернела
- Мреже
- Отворите датотеке
- АРП табела (арп)
- Отворене утичнице
- Процеси
- Уник утичнице (лсоф)