导读 | 微软推出未来的虚拟机取证服务 Project Freta,使任何人都能从云基础设施上的内存中提取恶意软件。 |
不同于微软 Defender Advanced Threat Protection (ATP) 提供的商业安全服务和创新解决方案,Project Freta 是微软研究院推出的,目前被列为“技术展示”。
微软研究院New, or Next, Security Ventures 团队的资深总监 Mike Walker 表示,“Project Freta 旨在使虚拟机取证自动化并民主化,让每个用户和每家企业都可以在无需进行任何设置的情况下一键清除易失性内存中的未知恶意软件。”
Freta 目前是一款基于云的免费服务,能够对虚拟机快照形式的“Linux 系统进行自动化的全系统易失性内存检测”。它涉及抓取 Hyper-V Linux guest OS 的内存快照。不过,Freta 门户也可提取 VMware 快照。
用户需要登录 Project Freta 门户网站,提交具体 Azure 区域使用的 Linux OS 镜像。这样做的理念是,用户可以从虚拟机中获取内存转储。在这个虚拟机中,主机隐秘地从 guest 提取内存转储,无需修改其 RAM 或文件内容。
Project Freta 的目标看似宏大但并非不可实现。微软真的能确保 Azure 将抓获所有的恶意软件,如隐藏在 Azure 硬件上易失性内存中的恶意软件吗?Walker 的希望如此,他认为如实现这一目的,则使得恶意软件制造者生产云恶意软件和其它内存恶意软件的成本变得昂贵。
他注意到,在云中,管理程序是攻击者必须打破以了解自己是否被安全传感器抓到的关键障碍。攻击者是否应该突破这种障碍?2018年一名取证研究员演示了这种可能性,比如攻击者可以通过自我破坏的方式逃避检测。
该项目似乎和微软 Defender ATP 最近在针对 Windows 10 PC 和服务器中内核恶意软件和无文件恶意软件的创新解决方案有关,但它的关注点落在云中的取证。
Walker 表示,Project Freta 旨在提供公有云目前并未提供的解决方案。他表示,“虽然基于快照的内存取证发展已进入第二个十年,但目前尚不存在一种商业云能够使客户在无需应用入侵抓取机制和先验取证准备的情况下对数千个虚拟机执行完整的内存审计工作。”
该项目的分析门户网站目前能够自动化识别指纹和审计“大多数基于云的虚拟机”的内存快照,并支持4000多个内核版本。如在原型制作过程中一切顺利,则 Project Freta 可为取证咨询公司带来麻烦,因为咨询任务可自动化完成。
Project Freta 通过门户网站及其 REST 和 Python 应用程序接口生成报告。
Project Freta 目前由一款分析引擎组成,该引擎使用“整个系统 Linux 易失性内存的快照并提取系统对象的枚举”,以及为 Azure 构建的传感器,它可使用户将实时虚拟机的虚拟内存移动到脱机环境中进行分析,而无需破坏执行。Walker 指出,“这项传感器能力完成于2019年,目前仅面向微软的安全研究员,尚未应用到任何商业云中,目前只有高管简报和演示。该传感器和 Freta 分析环境展示了对大型企业(超过1万个虚拟机)进行成本低廉的自动化内存取证审计途径。”
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/132301.html