Microsoft lanserar Project Freta för att upptäcka skadlig kod i Linux-kärnor

0 Shares

Microsoft Project Freta

Microsoft har avslöjat en ny anti-malware-tjänst med namnet Project Freta. Företaget beskriver det som en “gratis tjänst från Microsoft Research för att upptäcka bevis för OS och sensorsabotage, som rootkits och avancerad skadlig kod, i minnessnapshots av levande Linux-system”.

Project Freta är molnbaserat, och minnet forensics verktyg skapades av NExT Security Ventures (NSV) team i Microsoft Research.

Se även:

Verktyget fungerar genom att fånga en bild av operativsystemet som körs på en virtuell maskin som sedan kan laddas upp till molnet för analys. För närvarande stöds fyra minnesbilder: Hyper-V Memory Snapshot (.vmrs-filer), LiME-bild (.lime-filer), Elf Core Dump of Physical Memory (.core-filer) och Raw Physical Memory Dump (.raw-filer) . Utan konfigurationsbehov tillåter Project Freta användare att svepa flyktigt minne för okänd skadlig kod med ett knapptryck.

Mike Walker, chef för nya säkerhetsprojekt på Microsoft, säger om projektet:

Som en teknikdemonstration öppnar Project Freta allmänhetens tillgång till en analysportal som automatiskt kan fingeravtrycka och granska en minnesbild av de flesta molnbaserade Linux-virtuella datorer; över 4000 kärnversioner stöds automatiskt. Hyper-V-kontrollfiler som fångats från ett modernt företag kan sökas efter allt från kryptominers till avancerade kärnrotkits. Denna prototyp förhandsgranskar ett spännande framtida alternativ för molnkonsumenter: övergång från kriminaltekniska konsulttjänster till automatisk upptäckt av skadlig programvara inbyggd i berggrunden för ett kommersiellt moln.

Project Freta har legat i två år, och det olika sättet att upptäcka skadlig programvara innebär att det är mycket mer troligt att det upptäcker skadlig kod. Tack vare hur verktyget fungerar, skadas inte skadlig programvara för att någon form av skanning pågår och kan därför inte döljas. Microsoft förklarar:

Project Freta-analysmotorn förbrukar ögonblicksbilder av hela systemets Linux-flyktiga minne och extraherar en uppräkning av systemobjekt. En del identifiering av kärnanslutning utförs automatiskt. detta kan användas av analytiker för att upptäcka nya rootkits.

Dokumentation för Project Freta finns här, medan analysportalen finns i prototypform för allmän användning på https://freta.azurewebsites.net.

0 Shares