Компания «Microsoft» объявила о новой бесплатной инициативе, направленной на обнаружение доказательств компрометации в системах Linux, включая руткиты и навязчивое вредоносное ПО.
Облачный сервис «Project Freta» представляет собой механизм исследования памяти на основе снапшотов, целью которого является автоматическая проверка виртуальных машин с возможностью обнаружения вредоносного программного обеспечения, руткитов уровня ядра системы и другого скрытого вредоносного ПО, а так же запущенных скрытых процессов.
Проект назван в честь Варшавской улицы Фрета, места рождения Марии Кюри, известного французско-польского физика, которая изобрела рентгеновское сканирование во времена первой мировой войны.
«Современное вредоносное ПО является сложным и изощренным. Оно разработано с учетом принципа сокрытия присутствия», - сообщил Майк Уокер, старший директор «New Security Ventures», подразделения «Microsoft». «Project Freta» намеревается автоматизировать и упростить обследование виртуальных машин до такой степени, что каждый пользователь и каждая компания сможет избавиться от неизвестных вредоносных программ одним нажатием кнопки - никаких настроек не требуется».
«Система доверенного исследования» работает с четырьмя различными аспектами, которые делают системы невосприимчивыми к атакам, не позволяя любым программам:
- обнаруживать наличие системы безопасности перед установкой;
- располагаться в области памяти, которая находится вне поля зрения сенсоров системы;
- обнаруживать работу сенсоров и пытаться удалять или модифицировать их, чтобы избежать обнаружения;
- вмешиваться в работу сенсоров.
«Когда злоумышленники и защитники имеют общую микроархитектуру, каждая попытка обнаружения вредоносного кода изменяет среду таким образом, что в конечном итоге может быть обнаружена злоумышленником», - отметил Уолкер. «Единственный способ бороться с такими атаками – убрать саму возможность атакующего увидеть работу средств защиты».
«Project Freta» доступен любому у кого есть учетная запись Microsoft или Azure Active Directory. Сервис позволяет отправлять образы памяти (файлы .vmrs, .lime, .core или .raw) через онлайн-портал или с помощью API. После исследования создается подробный отчет по анализу модулей ядра, файлов в памяти, наличию потенциальных руткитов, процессов и т. д. Результаты можно экспортировать в формате JSON.
Ориентированность на Linux обусловлена необходимостью снятия отпечатков операционных систем в облаке, независимо от платформы из зашифрованного образа памяти. «Microsoft» отметила возросшую сложность проекта из-за большого количества общедоступных ядер для Linux. Первоначальная версия «Project Freta» поддерживает более 4000 ядер Linux, поддержка ОС семейства Windows пока в процессе разработки.
В перспективе развития проекта есть функция переноса памяти работающих виртуальных машин в автономную среду для дальнейшего анализа и использования дополнительных инструментов принятия решений на основе системы искусственного интеллекта в целях обнаружения киберугроз.
«Цель этих усилий состоит в том, чтобы повысить стоимость разработки вредоносных программ, нацеленных на облачные сервисы, до теоретического максимума», - сказал Уолкер. «Производители скрытых вредоносных программ будут вовлечены в дорогостоящий цикл полной переделки своего ПО, что сделает облако неподходящим местом для кибератак».
Портал онлайн-анализа «Project Freta» доступен здесь. Полная документация доступна здесь.
Перевод сделан со статьи https://thehackernews.com/
