Microsoft'un Project Freta'sının Azure'daki kötü amaçlı yazılımları durdurması amaçlanıyor
Project Freta, kötü amaçlı yazılımları durduran bir sanal makine (VM) adli bilişim platformu sunan yeni bir Microsoft Araştırma projesidir. Kullanıcılar, bulutta kötü amaçlı yazılım bulmak için Freta'yı kullanabilecekler.
Project Freta Microsoft Research'ten geldiği için şirket bunu bir 'teknoloji gösterimi' olarak sınıflandırıyor.
Bir VM'nin anlık görüntüsünü yakalar (Hyper-V ve VMWare'i destekler) ve ardından içeriğini kötü amaçlı yazılım varlığı açısından inceler. Bu işlevi elde etmek için kullanıcının Project Freta web sitesinde oturum açması ve ardından özel Azure bölgesinde kullanılan VM görüntülerini göndermesi gerekir.
NS resmi duyuru diyor:
Project Freta analiz motoru, tüm sistem Linux geçici belleğinin anlık görüntülerini kullanır ve sistem nesnelerinin bir listesini çıkarır. Bazı çekirdek çengel tanımlamaları otomatik olarak gerçekleştirilir; bu, analistler tarafından yeni rootkit'leri tespit etmek için kullanılabilir. Analiz portalı, genel kullanım için prototip biçiminde mevcuttur: https://freta.azurewebsites.net.
Prototip portalı, girdi olarak birçok bellek anlık görüntüsünü destekler. Şu anda, güvenilir algılama elde etmek için gerekli olan "sürpriz unsuruna" makul bir yaklaşım sağlamak için yalnızca bir Hyper-V kontrol noktası değerlendirilmiştir:
- Bir VMRS dosyası oluşturmak için Hyper-V kontrol noktası özelliğini kullanın
- Bir CORE dosyası oluşturmak için bir VMWare anlık görüntüsünü dönüştürün
- AVML kullanarak çalışan bir sistemden belleği çıkarın
- LiME kullanarak çalışan bir sistemden belleği çıkarın
Azure'da çalışan bir VM için bellek anlık görüntüleri, örneğin belleğini yakalamaya ve yürütmeyi durdurmadan analiz için çevrimdışı bir alana taşımaya olanak tanıyan özel bir sensörle alınabilir.
2019 kışında tamamlanan bu sensör özelliği şu anda yalnızca Microsoft tarafından kullanılabilir. araştırmacılardır ve Microsoft'un ticari bulutlarından herhangi birine yönelik değildir—yönetici brifingleri ve demolar mevcut. Freta analiz ortamıyla birleştirilen bu sensör, büyük işletmelerin (10.000'den fazla VM) ucuz, otomatikleştirilmiş bellek adli denetimlerine giden bir yolu gösterir.
Analiz tamamlandığında, Project Freta bir rapor oluşturacaktır. Rapor verileri ayrıca REST API ve Python aracılığıyla da elde edilebilir.
Rapor, örneğin alındığı aralık boyunca sistem nesnelerinin bir listesini içerir:
- Global değerler ve adresler
- Hata ayıklanmış süreçler
- Bellek içi dosyalar
- Çekirdek kesme tablosu
- Çekirdek modülleri
- Çekirdek sistem çağrısı tablosu
- ağlar
- Dosyaları aç
- ARP tablosu (arp)
- Açık soketler
- süreçler
- Unix yuvaları (lsof)
