Microsoft Research разработала систему «Project Freta» для сканирования большого количества виртуальных облачных машин на наличие вредоносных программ. Облачный сервис дожжен выявлять руткиты и продвинутые вредоносные программы в моментальных снимках памяти облачных систем Linux и Windows.
Экспертиза памяти на основе моментальных снимков – это достаточно известный метод обеспечения безопасности. Однако, он недоступен для клиентов любого крупного поставщика облачных услуг. Проект Freta позволит выполнять полный аудит памяти тысяч виртуальных машин.
Виртуальные машины (ВМ) - это версии программного обеспечения компьютеров, работающих в облачной среде. Они реплицируют весь компьютер под управлением операционной системы, такой как Linux или Windows.
Это привело к созданию облачных сред с тысячами виртуальных машин, работающих одновременно. Такой формат создает проблему для системных администраторов, которые хотят убедиться, что ни одна из виртуальных машин не работает с вредоносными программами.
Облачные средства управления пока еще решают проблему выявления вредоносов путем сканирования виртуальных машин на наличие вредоносных программ. Для этого требуется запуск вспомогательного программного обеспечения на каждой виртуальной машине.
Это занимает много времени. Механизм настолько громоздкий, что невольно «предупреждает» уже внедренные в систему вредоносные программы, что их пытаются обнаружить.
Были зафиксированы случаи, когда продвинутые вредоносные ПО «понимали», что их ищут. Временно прекращали свое функционирование, избегая, тем самым, обнаружения.
Microsoft Research разработала проект Freta, чтобы полностью отделить плоскость безопасности от вычислительной плоскости при сканировании большого количества виртуальных машин. Работа системы сканирования остается невидимой для вредоносных программ. Механизм сканирования разработан таким образом, что память виртуальной машины остается полностью нетронутой.
Проект Freta сканирует память виртуальной машины, не выполняя в ней дополнительных действий. Выясняется, какие системные объекты содержит виртуальная машина на основе живого снимка в памяти системы Linux. Судя по сообщению разработчика, система Freta может обнаруживать руткиты и другие продвинутые вредоносные программы.
Исследовательская группа разработала программное обеспечение в Rust (язык программирования со встроенными свойствами безопасности памяти). Система обрабатывает большое количество виртуальных машин в короткие сроки. Фактически, снимая отпечатки пальцев операционных систем из образа памяти.
Полностью завершена работа с алгоритмом сканирования для Linux. Проводится аудит моментального снимка памяти большинства облачных виртуальных машин Linux. На данный момент более 4000 версий ядра этих ВМ могут сканироваться автоматически. Поддержка Windows – в Дорожной карте разработчика.
Эксперты Darknet.Global обращают внимание на следующие ключевые характеристики проекта Freta:
- Обнаружение новых вредоносных программ, руткитов ядра, скрытия процессов и других артефактов вторжения с помощью операции сканирования - путем работы непосредственно на захваченных моментальных снимках виртуальной машины.
- Очень простой в использовании - отправляется захваченное изображение, чтобы создать отчет о его содержимом.
Проект Freta намерен автоматизировать и демократизировать аудит виртуальных машин до такой степени, чтобы каждый пользователь и каждое предприятие могли самостоятельно «вымести» из оперативной памяти даже неизвестные вредоносные программы, сделав лишь одно нажатие кнопки, без дополнительной настройки.
Администраторы уже могут протестировать новый механизм защиты, связав свои учетные записи Microsoft Azure (виртуальная платформа) с порталом проекта.
