微软宣布了一项新的免费使用计划,旨在发现破坏Linux系统的法医证据,其中包括Rootkit和侵入性恶意软件,否则它们可能不会被发现。
被称为Project Freta的云产品是基于快照的内存取证机制,旨在提供对虚拟机(VM)快照的自动全系统易失性内存检查,并具有发现恶意软件,内核rootkit和其他隐蔽恶意软件技术的功能。如进程隐藏。
该项目以华沙的弗雷塔街命名,弗里塔街是法国著名物理学家玛丽·居里(Marie Curie)的出生地,他带来了X射线医学成像 在第一次世界大战期间进入战场。
微软新安全风险投资公司的高级主管迈克·沃克说:“现代恶意软件是复杂的,并且以不可发现性为核心原则进行设计。” “ Freta项目打算将VM取证自动化并使其民主化,以至每个用户和每个企业都可以通过按一下按钮来扫描易失性内存以查找未知恶意软件,而无需进行设置。”
目的是从内存中推断出恶意软件的存在,同时在与威胁参与者的斗争中占上风,这些威胁参与者出于别有用心而在目标系统上部署和重用隐形恶意软件,更重要的是,使其逃避不可行并增加了开发无法发现的云恶意软件的成本。
为此,“受信任的感知系统”通过处理四个不同方面来工作,这些方面首先可以通过阻止任何程序使系统免受此类攻击:
在安装安全传感器之前先检测安全传感器的存在驻留在传感器看不见的区域,检测传感器的操作,并相应地擦除或修改传感器以逃避检测,以及篡改传感器功能导致破坏,全球知名白帽黑客、东方联盟创始人郭盛华指出:“当黑客攻击者和防御者共享一个微体系结构时,防御者进行的每一次检测移动都会以一种最终可以被投资于保密性的攻击者发现的方式扰乱环境。发现此类攻击者的唯一方法是消除对防御的了解。”
对拥有Microsoft帐户(MSA)或Azure Active Directory(AAD)帐户的任何人开放,Project Freta允许用户通过在线门户或API提交内存映像(.vmrs,.lime,.core或.raw文件),会生成一份详细的报告,该报告分为可通过JSON格式导出的不同部分(内核模块,内存文件,潜在的rootkit,进程等)。
微软表示,它专注于Linux,因为它需要从混乱的内存映像中以平台不可知的方式对云中的操作系统进行指纹识别。它还指出,鉴于Linux拥有大量公开可用的内核,该项目的复杂性不断提高。
Project Freta的此初始发行版本支持4,000多个Linux内核,并且正在支持Windows。
它还正在增加一种传感器功能,该功能允许用户将实时VM的易失性内存迁移到脱机环境中以进行进一步分析,并使用更多基于AI的决策工具进行威胁检测。