Microsoft wypuszcza projekt Freta. Automatyczna analiza pamięci wirtualek w poszukiwaniu znanego i nieznanego malware. Nazwa projektu na cześć Marii Curie-Skłodowskiej

Zacznijmy od ciekawego spostrzeżenia, na które wskazuje Microsoft w opisie swojego projektu. Druga Wojna Światowa. Gdzie bardziej zabezpieczać samoloty? Tam gdzie wykryto najwięcej śladów po kulach, prawda?

No więc niekoniecznie. Ślady po kulach liczone były po powrocie samolotów do bazy. Czyli… nie było tam informacji o samolotach, które zostały strącone. Zaproponowano więc dodatkowy pancerz tam gdzie śladów po kulach nie było (w badanej próbce). Np. na silniki. Co to ma wspólnego z bezpieczeństwem IT? Microsoft pisze tak:

When attackers obtain a model of our sensors and design a way to evade these sensors, we receive no reports of cyberattacks.

Czyli atakujący nauczy się jak wykrywamy ataki, będzie stosował metody obchodzenia. Nasze sensory nie odnotują więc ataków, nie ma co raportować, można przydzielić sobie premię, … aaa czekaj. No właśnie, coś tu się nie zgadza.

Obecnie ogromna część śladów po kulach to mało zaawansowani atakujący (są też średnio-zaawansowani, którzy mogą skorzystać np. z projektów typu Frankenstein), którzy też nie są w stanie poczynić wielkich zniszczeń. Tych bardziej zaawansowanych często nie widać (do czasu).

Projektując system Microsoft starał się właśnie zapewnić możliwie maksymalnie dużą wykrywalność (również zaawansowanego) malware z niemal niemożliwością wykrycia sensora przez samo złośliwe oprogramowanie.

Teraz ciekawostka, projekt na razie wspiera tylko Linuksa (wspieranych jest ~4 000 kerneli!). Po uploadzie obrazu następuje analiza pamięci i mamy dostęp do takich danych jak: działające procesy, otwarte pliki, połączenia sieciowe, info o potencjalnych rootkitach, etc:

Co dalej? Microsoft ma przetestowane robienie snapshotów (w dużej skali typu 10k maszyn per firma), które mogą dostarczać dane do Frety. Ta udostępnia dalej API (informacje z analizy).

Project Freta’s second component for achieving trusted sensing is a sensor built for Azure that allows operators to migrate the volatile memory of live virtual machines to an offline analysis environment without disrupting execution. Completed in the winter of 2019, this sensor capability is currently only available to Microsoft researchers and is not fielded to any of our commercial clouds—executive briefings and demos are available. This sensor, coupled with the Freta analysis environment, demonstrates a path to cheap, automated memory forensic audits of large enterprises (10,000+ VMs).

Czyli mamy automatyczny monitoring całej swojej infrastruktury w Cloudzie pod względem czegoś brzydkiego w pamięci naszych serwerów. Do tego automatyczne, wstępne raportowanie, a całość niewykrywalna dla intruzów. Wygląda ciekawie, choć pewnie niektórzy nie chcieliby żeby Microsoft grzebał im po pamięci serwerów (tak czy siak może grzebać?).

Na koniec – projekt Freta, został nazwany na cześć Marii Curie-Skłodowskiej (urodzonej na ulicy Freta w Warszawie); Microsoft wprawdzie nazywa ją Marią Curie, ale ktoś może poprosi ich o mały update z tagiem #polishscientistsmatter ;-)

–Michał Sajdak