Microsoft ra mắt dịch vụ phát hiện phần mềm độc hại miễn phí trên hệ thống Linux
.jpg)
Cung cấp dịch vụ đám mây, được đặt tên là Project Freta , là một cơ chế “memory forensic” dựa trên “snapshot” nhằm mục đích cung cấp kiểm tra “volatile memory” (bộ nhớ động) toàn hệ thống tự động của các “snapshot” máy ảo (VM), với khả năng phát hiện phần mềm độc hại, rootkit và các kỹ thuật phần mềm độc hại lén lút khác chẳng hạn như process hiding.
Dự án được đặt theo tên Phố Freta của Warsaw , nơi sinh của Marie Curie, nhà vật lý nổi tiếng người Pháp gốc Ba Lan, người đã đưa hình ảnh X quang y tế đến chiến trường trong Thế chiến thứ nhất
“Các mã độc hiện nay ngày càng phức tạp, tinh vi hơn và chúng được thiết kế dựa trên nguyên lý cốt lõi là hạn chế tối đa việc bị phát giác. Vậy nên, sự ra đời của Project Freta sẽ góp phần giúp tự động hóa và phổ biến hóa VM forensics để tất cả mọi người dùng và doanh nghiệp đều có thể quét bộ nhớ điện động và tìm ra mã độc chỉ bằng một nút bấm mà không yêu cầu bất cứ khâu thiết lập nào,” Mike Walker, giám đốc cấp cao của Microsoft New Security Ventures cho biết.
Mục tiêu của dự án là phát hiện ra phần mềm độc hại từ bộ nhớ, đồng thời chiếm thế thượng phong trong cuộc chiến chống lại các tác nhân đe dọa triển khai và tái sử dụng phần mềm độc hại lén lút trên các hệ thống mục tiêu cho các động cơ thầm kín, và quan trọng hơn là làm cho việc che giấu mã độc không thể thực hiện được và tăng chi phí phát triển phần mềm độc hại “cloud malware” khó bị phát hiện.
Để đạt được hiệu quả đó, “Trusted sensing system” (hệ thống cảm biến đáng tin cậy) hoạt động bằng cách giải quyết bốn khía cạnh khác nhau sẽ khiến các hệ thống miễn nhiễm với các cuộc tấn công như vậy ngay từ đầu bằng cách ngăn chặn bất kỳ chương trình nào:
Phát hiện sự hiện diện của cảm biến bảo mật trước khi cài đặt chính nó
- Nằm trong khu vực ngoài tầm kiểm soát của cảm biến
- Phát hiện hoạt động của cảm biến và theo đó xóa hoặc sửa đổi chính nó để thoát khỏi sự phát hiện
- Giả mạo các chức năng của cảm biến để gây ra sự phá hoại
“Khi những kẻ tấn công và các công cụ bảo vệ cùng chia sẻ một vi kiến trúc, thì mọi hoạt động tìm kiếm của hệ thống cảm biến sẽ làm xáo trộn môi trường và cuối cùng sẽ thu hút sự chú ý của kẻ tấn công bí mật. Cách duy nhất để phát hiện được những kẻ tấn công như vậy là khiến chúng không cảnh giác và không chú tâm vào việc phòng thủ,” Walker lưu ý.
Project Freta miễn phí cho tất cả người dùng có tài khoản Microsoft Account (MSA) hoặc Azure Active Directory (AAD). Nó cho phép người dùng gửi memory image (hình ảnh bộ nhớ) như .vmrs, .lime, .core hoặc .raw thông qua một cổng thông tin điện tử (portal) hoặc API, post. Tại đó, một báo cáo chi tiết sẽ được tạo sau khi đi sâu vào phân tích, quét các phần khác nhau của hệ thống như kernel module, in-memory file, các phần mềm có khả năng là rootkit, các process, v.v. Báo cáo này sau đó có thể được xuất dưới định dạng JSON.
Microsoft cho biết họ tập trung vào Linux do nhu cầu tăng cao của OS fingerprinting trên đám mây không phụ thuộc nền tảng (platform-agnostic) từ một memory image bị xáo trộn. Và sự phức tạp ngày càng gia tăng của dự án cùng số lượng lớn các kernel có sẵn cho Linux cũng là lý do cho việc tập trung vào hệ điều hành này.
Phiên bản đầu tiên của Project Freta hỗ trợ hơn 4.000 Linux kernel, cùng với sự hỗ trợ của Windows trong pipeline.
Dự án này cũng đang trong quá trình bổ sung thêm một chức năng cảm biến cho phép người dùng di chuyển volatile memory của máy ảo trực tiếp sang một môi trường ngoại tuyến để phân tích sâu hơn. Đồng thời, bổ sung thêm các công cụ dựa trên nền tảng trí tuệ nhân tạo (AI) để phát hiện các mã độc nguy hại.
“Mục tiêu của việc phổ biến hóa công nghệ này là nhằm tăng chi phí phát triển của các cloud malware đến mức tối đa về mặt lý thuyết. Điều này sẽ khiến những kẻ sản xuất mã độc này bị giam trong một chu trình tái phát minh vô cùng đắt đỏ, và làm cho việc tấn công mạng vào các đám mây như vậy trở nên không còn phù hợp.