微软推出新项目,可在系统内存快照中查找恶意

blog

微软推出新项目,可在系统内存快照中查找恶意

微软推出了一个名为Project Freta的新项目,这是一项基于云的免费产品,允许用户在操作系统内存快照中查找恶意软件(例如rootkit)。

Project Freta这个名字来自玛丽·居里(Marie Curie)出生的华沙弗雷塔大街(Freta Street),是她将X射线医学成像技术带到了战场上。

让我们来详细的了解一下这个项目:


 

新项目的主要优点

1.可以通过直接操作捕获虚拟机快照,通过无代理操作检测新的恶意软件、内核rootkits、进程隐藏和其他入侵构件

2.非常容易使用:提交捕获的图像就可以生成其内容的报告

3.内存检查意味着无需安装软件,也无需通知恶意软件来疏散或销毁数据

4.用于将类似IR的发现任务直接自动化到云结构中,从采集工具捕获的易失性内存快照也可以用于虚拟化不可用的裸机场景

该项目的初始版本Freta支持4000多个Linux内核,虽然目前仅供Linux系统使用,但是微软将来会增加对Windows系统的调查支持。

微软表示,Project Freta是基于快照的内存取证解决方案,旨在自动执行虚拟机(VM)快照的全系统易失性内存检查。

虽然基于快照的内存取证已经有二十年,但还没有商业云能够为客户提供对数千个虚拟机(VM)进行全内存审计的功能,而无需侵入式捕获机制和进行事先的取证准备。

“就像过去的胶片相机和今天的智能手机有着相似的百万像素,但使用性和可用性却有着巨大的不同,Freta项目打算通过自动化和民主化的虚拟机取证,使每个用户和每个企业只需按一个按钮就可以清除未知恶意软件的易失性内存,且不用进行额外的设置。”

该项目的分析服务,包括进程、全局值和地址、内存文件、调试的进程、内核组件、网络、ARP表、打开的文件、打开的套接字和Unix套接字。

Freta项目通过门户网站提供,用户可以上传他们的操作系统映像进行分析,平台生成的结果可以直接在门户上访问,也可以通过REST和pythonapi访问。

然而这个解决方案对于启动感染链之前无法检测到传感器的恶意软件是透明的,这意味着对恶意代码实现的规避技术是无效的。

对此,“受信任的感知系统”通过处理四个不同的方面来开展工作,首先通过防御程序使系统免受此类攻击,然后微软在增加Windows支持的基础上,计划去扩展分析功能并实施基于AI的决策制定来检测新的威胁。

Freta项目实现“受信任感知系统”的第二个组件是为Azure构建传感器,它使操作员可以将实时虚拟机的易失性内存迁移到脱机分析环境中,而不会中断执行。

最后微软表示:“此传感器功能于2019年冬季完成,但目前尚未应用于我们的任何商业云执行官简报和演示中,仅限微软研究人员使用。这种传感器与Freta分析环境相结合,展示了对大型企业(10,000多个VM)进行廉价的自动内存取证审计的途径。”

标签:
分类: