Microsoft Project Freta призначений для зупинки шкідливого програмного забезпечення в Azure
Project Freta — це новий дослідницький проект Microsoft, який представляє криміналістичну платформу віртуальної машини (VM), яка зупиняє шкідливе програмне забезпечення. Користувачі зможуть використовувати Freta для пошуку шкідливого програмного забезпечення в хмарі.
Оскільки проект Freta надходить від Microsoft Research, компанія класифікує його як «демонстрацію технології».
Він робить знімок віртуальної машини (підтримує Hyper-V і VMWare), а потім перевіряє її вміст на наявність шкідливого програмного забезпечення. Щоб досягти цієї функціональності, користувач повинен увійти на веб-сайт Project Freta, а потім надіслати зображення віртуальної машини, які використовуються в спеціальному регіоні Azure.
The офіційне повідомлення каже:
Механізм аналізу Project Freta споживає знімки нестабільної пам’яті Linux усієї системи та витягує перелік системних об’єктів. Деяка ідентифікація підключення ядра виконується автоматично; це може бути використано аналітиками для виявлення нових руткітів. Портал аналізу доступний у формі прототипу для загального користування:
https://freta.azurewebsites.net.Портал-прототип підтримує багато типів знімків пам’яті як вхідних даних. Наразі лише контрольна точка Hyper-V була оцінена, щоб забезпечити розумне наближення до «елементу несподіванки», необхідного для досягнення надійного визначення:
- Використовуйте функцію контрольної точки Hyper-V, щоб створити файл VMRS
- Перетворіть знімок VMWare для створення файлу CORE
- Витягніть пам’ять із запущеної системи за допомогою AVML
- Витягніть пам’ять із запущеної системи за допомогою LiME
Знімки пам’яті для запущеної віртуальної машини в Azure можна робити за допомогою спеціального датчика, який дозволить захопити та перемістити пам’ять екземпляра в автономну область для аналізу, не зупиняючи її виконання.
Ця функція датчика, завершена взимку 2019 року, наразі доступна лише для Microsoft дослідників і не входить до жодної з комерційних хмар Microsoft — брифінги та демонстрації керівників доступний. Цей датчик у поєднанні з середовищем аналізу Freta демонструє шлях до дешевих, автоматизованих криміналістичних аудитів пам’яті великих підприємств (10 000+ віртуальних машин).
Після завершення аналізу Project Freta створить звіт. Дані звіту також можна отримати через REST API та Python.
Звіт містить перелік об’єктів системи за інтервал, протягом якого відбиралася вибірка:
- Глобальні цінності та адреси
- Налагоджені процеси
- Файли в пам'яті
- Таблиця переривань ядра
- Модулі ядра
- Таблиця системних викликів ядра
- мережі
- Відкрийте файли
- Таблиця ARP (arp)
- Відкриті розетки
- Процеси
- Розетки Unix (lsof)
