Project Freta ของ Microsoft มีวัตถุประสงค์เพื่อหยุดมัลแวร์ใน Azure

Project Freta เป็นโครงการวิจัยของ Microsoft ใหม่ที่นำเสนอแพลตฟอร์มการพิสูจน์หลักฐานของเครื่องเสมือน (VM) ที่หยุดมัลแวร์ ผู้ใช้จะสามารถใช้ Freta เพื่อค้นหาซอฟต์แวร์ที่เป็นอันตรายในระบบคลาวด์

เนื่องจาก Project Freta มาจาก Microsoft Research บริษัทจึงจัดประเภทเป็น 'การสาธิตเทคโนโลยี'

จับภาพสแน็ปช็อตของ VM (รองรับ Hyper-V และ VMWare) จากนั้นตรวจสอบเนื้อหาเพื่อหามัลแวร์ เพื่อให้บรรลุฟังก์ชันนี้ ผู้ใช้ควรลงชื่อเข้าใช้บนเว็บไซต์ Project Freta แล้วส่งอิมเมจ VM ที่ใช้ในภูมิภาค Azure พิเศษ

NS ประกาศอย่างเป็นทางการ พูดว่า:

เอ็นจิ้นการวิเคราะห์ Project Freta ใช้สแน็ปช็อตของหน่วยความจำแบบระเหยของ Linux ทั้งระบบ และแยกการแจงนับของอ็อบเจ็กต์ระบบ การระบุการขอเกี่ยวเคอร์เนลบางอย่างจะดำเนินการโดยอัตโนมัติ นักวิเคราะห์สามารถใช้สิ่งนี้เพื่อตรวจหารูทคิทใหม่ พอร์ทัลการวิเคราะห์มีอยู่ในรูปแบบต้นแบบสำหรับการใช้งานสาธารณะ: https://freta.azurewebsites.net.

พอร์ทัลต้นแบบรองรับสแน็ปช็อตหน่วยความจำหลายประเภทเป็นอินพุต ในปัจจุบัน มีเพียงจุดตรวจ Hyper-V เท่านั้นที่ได้รับการประเมินเพื่อให้การประมาณที่สมเหตุสมผลของ "องค์ประกอบของความประหลาดใจ" ที่จำเป็นเพื่อให้เกิดการตรวจจับที่เชื่อถือได้:

• ใช้คุณสมบัติจุดตรวจสอบ Hyper-V เพื่อสร้างไฟล์ VMRS
• แปลงสแน็ปช็อต VMWare เพื่อสร้างไฟล์ CORE
• แยกหน่วยความจำจากภายในระบบที่ทำงานอยู่โดยใช้ AVML
• แยกหน่วยความจำจากภายในระบบที่ทำงานอยู่โดยใช้ LiME

สแนปชอตหน่วยความจำสำหรับ VM ที่รันอยู่ใน Azure สามารถใช้เซ็นเซอร์พิเศษที่จะบันทึกและย้ายหน่วยความจำของอินสแตนซ์ไปยังพื้นที่ออฟไลน์เพื่อการวิเคราะห์โดยไม่ต้องหยุดการทำงาน

เสร็จสมบูรณ์ในฤดูหนาวปี 2019 ความสามารถของเซ็นเซอร์นี้พร้อมใช้งานสำหรับ Microsoft. เท่านั้น นักวิจัยและไม่ได้เข้าสู่คลาวด์เชิงพาณิชย์ของ Microsoft—การบรรยายสรุปและการสาธิตสำหรับผู้บริหาร มีอยู่. เซ็นเซอร์นี้ ประกอบกับสภาพแวดล้อมการวิเคราะห์ของ Freta แสดงให้เห็นถึงเส้นทางสู่การตรวจสอบทางนิติวิทยาศาสตร์หน่วยความจำแบบอัตโนมัติราคาถูกสำหรับองค์กรขนาดใหญ่ (10,000+ VM)

เมื่อการวิเคราะห์เสร็จสิ้น Project Freta จะสร้างรายงาน ข้อมูลรายงานสามารถรับได้ผ่าน REST API และ Python

รายงานประกอบด้วยการแจงนับของอ็อบเจ็กต์ระบบในช่วงเวลาระหว่างที่สุ่มตัวอย่าง:

• ค่านิยมและที่อยู่ทั่วโลก
• กระบวนการดีบัก
• ไฟล์ในหน่วยความจำ
• ตารางขัดจังหวะเคอร์เนล
• โมดูลเคอร์เนล
• ตารางเคอร์เนล syscall
• เครือข่าย
• เปิดไฟล์
• ตาราง ARP (arp)
• เปิดซ็อกเก็ต
• กระบวนการ
• ซ็อกเก็ตยูนิกซ์ (lsof)