Project Freta – nowe narzędzie do analizy i wykrywania malware

System w chmurze, nazwany Project Freta, jest narzędziem typu forensic opartym na migawkach, mającym na celu zapewnienie zautomatyzowanej kontroli pamięci ulotnej (RAM) całego systemu. Możliwe będzie wykonywanie migawek pamięci nawet kilku tysięcy maszyn wirtualnych jednocześnie i analizowanie ich pod kątem anomalii. Dzięki temu możliwe będzie wykrywanie złośliwego oprogramowania, rootkitów jądra systemu i innych technik ukrywania malware, jak np. proces hollowing. Ciekawostka: Nazwa projektu pochodzi od warszawskiej ulicy Freta, miejsca narodzin słynnej Marie Curie-Skłodowskiej, która podczas I wojny światowej wprowadziła obrazowanie rentgenowskie (X-ray) 🙂

„Nowoczesne złośliwe oprogramowanie jest złożone, wyrafinowane i zaprojektowane tak, aby nie można było wykryć go podstawowymi metodami” – powiedział Mike Walker, starszy dyrektor Microsoft ds. New Security Ventures. Projekt Freta zamierza zautomatyzować kryminalistykę maszyn wirtualnych do poziomu, w którym każdy użytkownik i każde przedsiębiorstwo potrafi przeanalizować całą pamięć RAM VM za pomocą jednego kliknięcia. Celem jest oczywiście wywnioskowanie obecności złośliwego oprogramowania w pamięci i jednocześnie zdobycie przewagi w walce z podmiotami zagrażającymi bezpieczeństwu.

Największymi zaletami takiego systemu detekcji malware, który całość informacji przetwarza w chmurze i w ogóle nie ingeruje w system operacyjny są następujące fakty:

• Malware nie będzie w stanie wykryć obecności oprogramowania do bezpieczeństwa przed swoją instalacją w systemie,
• Malware nie znajdzie miejsca, gdzie będzie niewidoczny dla takiej sondy, ponieważ migawki pamięci są wykonywane całościowo,
• Zaawansowany malware, nie będzie mógł modyfikować swojego zachowania pod kątem obecności oprogramowania AV (pisaliśmy o takiej technice tutaj).

Project Freta, będzie dostępny dla każdego, kto posiada konto Microsoft lub konto Azure Active Directory. Pozwoli użytkownikom przesyłać obrazy pamięci (pliki .vmrs, .lime, .core lub .raw) za pośrednictwem portalu internetowego lub interfejsu API oraz publikować wygenerowany szczegółowy raport, który na podstawie zrzutów pamięci dostarczy wiele informacji dowodowych i analitycznych takich jak:

• Globalne wartości i adresy w pamięci
• Debugowane procesy
• Pliki w pamięci
• Tablicę przerwań i tablicę wywołań jądra
• Moduły jądra
• Interfejsy sieciowe
• Otwarte pliki
• Tablicę ARP
• Otwarte interfejsy i porty
• Gniazda Unix (lsof)

Microsoft twierdzi, że koncentruje się w tym projekcie na Linuksie ze względu na potrzebę pobierania fingerprintów systemów operacyjnych w chmurze w sposób niezależny od platformy zakodowanego obrazu pamięci. Wskazano także na zwiększoną złożoność projektu, biorąc pod uwagę dużą liczbę publicznie dostępnych jąder dla systemu Linux. Początkowa wersja Project Freta obsługuje ponad 4000 jąder Linuksa, a obsługa Windows jest w przygotowaniu. W tworzeniu jest również funkcja czujnika, która pozwala użytkownikom migrować ulotną pamięć wirtualnych maszyn do środowiska offline w celu dalszej analizy i innych narzędzi decyzyjnych opartych na sztucznej inteligencji do wykrywania zagrożeń.

Portal do analizy online jest już dostępny pod linkiem – https://freta.azurewebsites.net