Microsofts Project Freta är avsett att stoppa skadlig programvara i Azure
Project Freta är ett nytt Microsoft Research-projekt som introducerar en forensisk plattform för virtuell maskin (VM) som stoppar skadlig programvara. Användare kommer att kunna använda Freta för att hitta skadlig programvara i molnet.
Eftersom Project Freta kommer från Microsoft Research, klassificerar företaget det som en "teknikdemonstration".
Den fångar en ögonblicksbild av en virtuell dator (stöder Hyper-V och VMWare), och inspekterar sedan dess innehåll för att se om det finns skadlig programvara. För att uppnå den här funktionen bör användaren logga in på Project Freta-webbplatsen och sedan skicka in VM-avbildningar som används i den speciella Azure-regionen.
De officiellt tillkännagivande säger:
Analysmotorn Project Freta förbrukar ögonblicksbilder av hela systemets Linux-flyktiga minne och extraherar en uppräkning av systemobjekt. Viss kernel hooking-identifiering utförs automatiskt; detta kan användas av analytiker för att upptäcka nya rootkits. Analysportalen finns tillgänglig i prototypform för allmänheten: https://freta.azurewebsites.net.
Prototypportalen stöder många typer av minnesbilder som indata. För närvarande har endast en Hyper-V-kontrollpunkt utvärderats för att ge en rimlig approximation av "överraskningselementet" som krävs för att uppnå pålitlig avkänning:
- Använd Hyper-V-kontrollpunktsfunktionen för att skapa en VMRS-fil
- Konvertera en VMWare-ögonblicksbild för att skapa en CORE-fil
- Extrahera minne från ett körande system med AVML
- Extrahera minne från ett körande system med LiME
Minnesögonblicksbilder för en körande virtuell dator i Azure kan tas med en speciell sensor som gör det möjligt att fånga och flytta instansens minne till ett offlineområde för analys utan att stoppa dess exekvering.
Färdigställd vintern 2019 är denna sensorfunktion för närvarande endast tillgänglig för Microsoft forskare och är inte delaktig i något av Microsofts kommersiella moln – det är chefsgenomgångar och demos tillgängliga. Denna sensor, tillsammans med Freta-analysmiljön, visar en väg till billiga, automatiska minnestekniska revisioner av stora företag (10 000+ virtuella datorer).
När analysen är klar kommer Project Freta att skapa en rapport. Rapportdata kan även erhållas via REST API och Python.
Rapporten innehåller en uppräkning av systemobjekt under det intervall under vilket provet togs:
- Globala värderingar och adresser
- Avlusade processer
- Filer i minnet
- Kärnavbrottstabell
- Kärnmoduler
- Kernel syscall-tabell
- Nätverk
- Öppna filer
- ARP-tabell (arp)
- Öppna uttag
- Processer
- Unix-uttag (lsof)