Microsoft ha anunciado una nueva iniciativa de uso gratuito destinada a descubrir pruebas forenses de sabotaje en sistemas Linux, incluidos rootkits y malware intrusivo que de otro modo podrían pasar sin ser detectados.
La oferta está en cloud, llamado como Proyecto Freta (Project Freta), que es un mecanismo forense de memoria basado en snapshots, cuyo objetivo es proporcionar un sistema completo y automatizado de inspección de memoria volátil de snapshots de máquinas virtuales.
«El malware moderno es complejo, sofisticado, y está diseñado bajo el principio de no descubrimiento».
«El proyecto Freta intenta automatizar y democratizar la forénsica de máquinas virtuales a un punto donde cada usuario y cada empresa pueda escanear memorias volátiles en busqueda de malware desconocido con solo presionar un botón, sin ninguna configuración requerida».
dijo Mike Walker, Director senior de Microsoft de New Security Ventures.
El objetivo es inferir la presencia de malware en la memoria, al mismo tiempo ganar ventaja en la lucha contra los actores de amenazas que despliegan y reutilizan el malware sigiloso en los sistemas objetivo por motivos ocultos, y lo que es más importante, hacer que la evasión sea inviable y aumentar el costo de desarrollo de malware en la nube.
A tal efecto, el «trusted sensing system» (sistema de detección de confianza) funciona abordando cuatro aspectos diferentes que harían que los sistemas sean inmunes a tales ataques, en primer lugar al evitar que cualquier programa:
- Detecte la presencia de un sensor de seguridad antes de instalarse.
- Resida en un área fuera de la vista de un sensor.
- Detecte el funcionamiento del sensor y por consiguiente borrándose o modificándose para la detección de escape, y
- Manipulación de las funciones del sensor para causar sabotaje.
«Cuando los atacantes y los defensores comparten una microarquitectura, cada movimiento de detección de un defensor ocasiona disturbios en el entorno, lo que ocasiona que finalmente sea descubierta por un atacante invertido en secreto»
señaló Walker
«La única manera de descubrir tales atacantes es eliminar su visión de la defensa»
Abierto a cualquier persona con una cuenta de Microsoft (MSA) o Azure Active Directory (AAD), Project Freta permite a los usuarios enviar imágenes de memoria (.vmrs, .lime, .core, o archivos .raw) a través de un portal en línea o una API, post que genera un informe detallado que profundiza en diferentes secciones (módulos del kernel, archivos en memoria, rootkits potenciales, procesos y más) que se pueden exportar a través del formato JSON.
Microsoft dijo que se centró en Linux debido a la necesidad de sistemas operativos de huellas dactilares en la nube de una manera independiente de la plataforma de una imagen de memoria codificada. También citó la creciente complejidad del proyecto, dado el gran número de núcleos disponibles públicamente para Linux.
Esta versión de lanzamiento inicial de Project Freta admite más de 4.000 núcleos Linux.
También está en proceso de agregar una capacidad de sensor que permite a los usuarios migrar la memoria volátil de las máquinas virtuales en vivo a un entorno fuera de línea para un análisis adicional y más herramientas de toma