Microsoft запускает сервис выявления вредоносного ПО под ОС Linux

8 июля 2020 г. 10:31
 4630

Компания «Microsoft» объявила о новой бесплатной инициативе, направленной на обнаружение доказательств компрометации в системах Linux, включая руткиты и навязчивое вредоносное ПО.

Компания «Microsoft» объявила о новой бесплатной инициативе, направленной на обнаружение доказательств компрометации в системах Linux, включая руткиты и навязчивое вредоносное ПО.

Облачный сервис «Project Freta» представляет собой механизм исследования памяти на основе снапшотов, целью которого является автоматическая проверка виртуальных машин с возможностью обнаружения вредоносного программного обеспечения, руткитов уровня ядра системы и другого скрытого вредоносного ПО, а так же запущенных скрытых процессов.

Проект назван в честь варшавской улицы Фрета, места рождения Марии Кюри, известного французско-польского физика, которая изобрела рентгеновское сканирование во времена первой мировой войны.

«Современное вредоносное ПО является сложным и изощренным. Оно разработано с учетом принципа сокрытия присутствия», - сообщил Майк Уокер, старший директор «New Security Ventures», подразделения «Microsoft». «Project Freta» намеревается автоматизировать и упростить обследование виртуальных машин до такой степени, что каждый пользователь и каждая компания сможет избавиться от неизвестных вредоносных программ одним нажатием кнопки - никаких настроек не требуется».

«Система доверенного исследования» работает с четырьмя различными аспектами, которые делают системы невосприимчивыми к атакам, не позволяя любым программам:  

  • обнаруживать наличие системы безопасности перед установкой;
  • располагаться в области памяти, которая находится вне поля зрения сенсоров системы;
  • обнаруживать работу сенсоров и пытаться удалять или модифицировать их, чтобы избежать обнаружения;
  • вмешиваться в работу сенсоров.

«Когда злоумышленники и защитники имеют общую микроархитектуру, каждая попытка обнаружения вредоносного кода изменяет среду таким образом, что в конечном итоге может быть обнаружена злоумышленником», - отметил Уолкер. «Единственный способ бороться с такими атаками – убрать саму возможность атакующего увидеть работу средств защиты».

«Project Freta» доступен любому у кого есть учетная запись Microsoft или Azure Active Directory. Сервис позволяет отправлять образы памяти (файлы .vmrs, .lime, .core или .raw) через онлайн-портал или с помощью API. После исследования создается подробный отчет по анализу модулей ядра, файлов в памяти, наличию потенциальных руткитов, процессов и т. д. Результаты можно экспортировать в формате JSON.

Ориентированность на Linux обусловлена необходимостью снятия отпечатков операционных систем в облаке, независимо от платформы из зашифрованного образа памяти. «Microsoft» отметила возросшую сложность проекта из-за большого количества общедоступных ядер для Linux. Первоначальная версия «Project Freta» поддерживает более 4000 ядер Linux, поддержка ОС семейства Windows пока в процессе разработки.

В перспективе развития проекта есть функция переноса памяти работающих виртуальных машин в автономную среду для дальнейшего анализа и использования дополнительных инструментов принятия решений на основе системы искусственного интеллекта в целях обнаружения киберугроз.

«Цель этих усилий состоит в том, чтобы повысить стоимость разработки вредоносных программ, нацеленных на облачные сервисы, до теоретического максимума», - сказал Уолкер. «Производители скрытых вредоносных программ будут вовлечены в дорогостоящий цикл полной переделки своего ПО, что сделает облако неподходящим местом для кибератак».

Портал онлайн-анализа «Project Freta» доступен здесь. Полная документация доступна здесь.

 

Перевод сделан со статьи https://thehackernews.com/