微软推出免费 Linux 取证和 Rootkit 恶意软件检测服务

Andrew 2020-07-07
专栏 - 资讯 发布于 2020-07-07 18:15:13 阅读 173 评论 0

微软宣布了一项新的免费使用计划,旨在发现破坏Linux系统的证据,其中包括Rootkit和侵入性恶意软件,否则它们可能不会被发现。

被称为Project Freta的云产品是基于快照的内存取证机制,旨在提供对虚拟机(VM)快照的自动全系统易失性内存检查,并具有发现恶意软件,内核rootkit和其他隐蔽恶意软件技术的功能。如进程隐藏。

该项目以Freta Street命名,Freta Street是法国著名物理学家玛丽·居里(Marie Curie)的出生地,居里在第一次世界大战期间将X射线医学成像带到了战场。

微软新安全风险投资公司的高级主管Mike Walker说:“现代恶意软件是复杂,复杂的,并且以不可发现性为核心原则进行设计。” “ Freta项目打算将VM取证自动化并使其民主化,以至每个用户和每个企业都可以通过按一下按钮来扫描易失性内存以查找未知恶意软件,而无需进行设置。”

目的是从内存中推断出恶意软件的存在,同时在与威胁参与者的斗争中占上风,这些威胁参与者出于别有用心而在目标系统上部署和重用隐形恶意软件,更重要的是,使其逃避不可行并增加原先云恶意软件的开发成本。

zdn86NW85G.png!large

为此,“受信任的感知系统”通过处理四个不同方面来工作,这些方面首先可以通过阻止任何程序使系统免受此类攻击:

  • 在安装安全传感器之前先检测安全传感器的存在
  • 位于传感器看不见的区域
  • 检测传感器的操作,并相应地擦除或修改传感器以逃避检测,以及篡改传感器功能导致破坏

Walker指出:“当攻击者和防御者共享一个微体系结构时,防御者所做的每一个检测动作都会以某种方式扰乱环境,最终会被保密的攻击者发现。” “发现此类攻击者的唯一方法是消除对防御的了解。”

对拥有Microsoft帐户(MSA)或Azure Active Directory(AAD)帐户的任何人开放,Project Freta允许用户通过在线门户或API提交内存映像(.vmrs,.lime,.core或.raw文件),会生成一份详细的报告,该报告分为可通过JSON格式导出的不同部分(内核模块,内存文件,潜在的rootkit,进程等)。

微软表示,它专注于Linux,因为它需要从混乱的内存映像中以平台不可知的方式对云中的操作系统进行指纹识别。它还指出,鉴于Linux拥有大量公开可用的内核,该项目的复杂性不断提高。

Project Freta的此初始发行版本支持4,000多个Linux内核,并且正在支持Windows。

它还正在增加一种传感器功能,该功能允许用户将实时VM的易失性内存迁移到脱机环境中以进行进一步分析,并使用更多基于AI的决策工具进行威胁检测。

Walker说:“这种民主化工作的目标是将不可发现的云恶意软件的开发成本提高到理论上的最高水平。” “然后,隐性恶意软件的生产者将被锁定在昂贵的完全重新发明的周期中,从而使这种云成为不适合进行网络攻击的地方。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!