Microsoft wypuszcza projekt Freta. Automatyczna analiza pamięci wirtualek w poszukiwaniu znanego i nieznanego malware. Nazwa projektu na cześć Marii Curie-Skłodowskiej

08 lipca 2020, 13:39 | W biegu | komentarzy 14
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Zacznijmy od ciekawego spostrzeżenia, na które wskazuje Microsoft w opisie swojego projektu. Druga Wojna Światowa. Gdzie bardziej zabezpieczać samoloty? Tam gdzie wykryto najwięcej śladów po kulach, prawda?

No więc niekoniecznie. Ślady po kulach liczone były po powrocie samolotów do bazy. Czyli… nie było tam informacji o samolotach, które zostały strącone. Zaproponowano więc dodatkowy pancerz tam gdzie śladów po kulach nie było (w badanej próbce). Np. na silniki. Co to ma wspólnego z bezpieczeństwem IT? Microsoft pisze tak:

When attackers obtain a model of our sensors and design a way to evade these sensors, we receive no reports of cyberattacks.

Czyli atakujący nauczy się jak wykrywamy ataki, będzie stosował metody obchodzenia. Nasze sensory nie odnotują więc ataków, nie ma co raportować, można przydzielić sobie premię, … aaa czekaj. No właśnie, coś tu się nie zgadza.

Obecnie ogromna część śladów po kulach to mało zaawansowani atakujący (są też średnio-zaawansowani, którzy mogą skorzystać np. z projektów typu Frankenstein), którzy też nie są w stanie poczynić wielkich zniszczeń. Tych bardziej zaawansowanych często nie widać (do czasu).

Projektując system Microsoft starał się właśnie zapewnić możliwie maksymalnie dużą wykrywalność (również zaawansowanego) malware z niemal niemożliwością wykrycia sensora przez samo złośliwe oprogramowanie.

Teraz ciekawostka, projekt na razie wspiera tylko Linuksa (wspieranych jest ~4 000 kerneli!). Po uploadzie obrazu następuje analiza pamięci i mamy dostęp do takich danych jak: działające procesy, otwarte pliki, połączenia sieciowe, info o potencjalnych rootkitach, etc:

Co dalej? Microsoft ma przetestowane robienie snapshotów (w dużej skali typu 10k maszyn per firma), które mogą dostarczać dane do Frety. Ta udostępnia dalej API (informacje z analizy).

Project Freta’s second component for achieving trusted sensing is a sensor built for Azure that allows operators to migrate the volatile memory of live virtual machines to an offline analysis environment without disrupting execution. Completed in the winter of 2019, this sensor capability is currently only available to Microsoft researchers and is not fielded to any of our commercial clouds—executive briefings and demos are available. This sensor, coupled with the Freta analysis environment, demonstrates a path to cheap, automated memory forensic audits of large enterprises (10,000+ VMs).

Czyli mamy automatyczny monitoring całej swojej infrastruktury w Cloudzie pod względem czegoś brzydkiego w pamięci naszych serwerów. Do tego automatyczne, wstępne raportowanie, a całość niewykrywalna dla intruzów. Wygląda ciekawie, choć pewnie niektórzy nie chcieliby żeby Microsoft grzebał im po pamięci serwerów (tak czy siak może grzebać?).

Na koniec – projekt Freta, został nazwany na cześć Marii Curie-Skłodowskiej (urodzonej na ulicy Freta w Warszawie); Microsoft wprawdzie nazywa ją Marią Curie, ale ktoś może poprosi ich o mały update z tagiem #polishscientistsmatter ;-)

–Michał Sajdak

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. MBu
    Odpowiedz
    • #metodamalychkrokow :-)

      Odpowiedz
    • John Sharkrat

      Obie wersje nie są poprawne, ponieważ pierwszy człon to nazwisko panieńskie, a drugie po mężu.
      Maria Curie Skłodowska, to Maria, która urodziła się jako Curie, a wyszła za Skłodowskiego.
      I radzę nie przytaczać mundrości francuskich, bo u nich też tak jest, tylko czasami naciągają teorie do swoich potrzeb, podobnie jak Niemcy twierdząc, że Kopernik to wieli NIEMIECKI astonom.

      Odpowiedz
      • Nico

        Maria Salomea Skłodowska-Curie – polska fizyk i chemik, dwukrotna laureatka Nagrody Nobla. W 1891 Maria Skłodowska wyjechała z Królestwa Polskiego do Paryża, by podjąć studia na Sorbonie; następnie rozwinęła tam swoją karierę naukową. Była prekursorką nowej gałęzi chemii – radiochemii. Wikipedia

        Odpowiedz
    • jgprogram
      Odpowiedz
  2. Whokers

    Podobno to była nudziara jakąś odklejona od rzeczywistości i mało kto rozumiał o czym mówi

    Odpowiedz
    • Bogus

      Jak Ty ;)

      Odpowiedz
    • John Sharkrat

      I pewnie dlatego ma dwa Noble, jako jedyny człowiek na świecie i to w dwóch kategoriach.
      Do dziś 98% ludzi nie rozumie ani E=mc2 ani teorii względności.

      Odpowiedz
  3. M.

    Zaraz, zaraz. Microsoft wypuszcza narzędzie wyłącznie dla Linuksów? I nigdzie nie dzwoni żaden alarm?

    Odpowiedz
  4. adrb

    Coś czuje, że wrócą czasy kodu polimorficznego

    Odpowiedz
    • Paweł

      Przecież analizujesz zachowanie się kodu a nie kod – poliformicznosć nic nie daje w sandboxie poz utrudnianiem analizy

      Odpowiedz
  5. Mnie

    Nudziara? Jak rozmawiają dwie osoby i jedna z nich reprezentuje znacznie niższy poziom intelektualny od drugiej to faktycznie ta osoba może odnieść takie wrażenie.

    Odpowiedz
  6. John Sharkrat

    A czym się rożni szukanie malware w wirtualnych od szukania czegokolwiek innego np. danych projektowych czy tajnych dokumentów?

    Odpowiedz

Odpowiedz