Microsoft lanza gratis Linux Forensics y Rootkit Malware Detection Service

Iniciado por Dragora, Julio 07, 2020, 10:02:29 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Microsoft ha anunciado una nueva iniciativa gratuita destinada a descubrir pruebas forenses de sabotaje en sistemas Linux, incluidos rootkits y malware intrusivo que de otro modo podrían pasar desapercibidos.

La oferta en la nube, apodada Proyecto Freta, es un mecanismo forense de memoria basado en instantáneas que tiene como objetivo proporcionar inspección automatizada de memoria volátil de todo el sistema de instantáneas de máquinas virtuales (VM), con capacidades para detectar software malicioso, rootkits del kernel y otras técnicas de malware sigiloso como la ocultación de procesos.

El proyecto lleva el nombre de la calle Fretade Varsovia, el lugar de nacimiento de Marie Curie, la famosa física franco-polaca que trajo imágenes médicas de rayos X al campo de batalla durante la Primera Guerra Mundial.

"El malware moderno es complejo, sofisticado y está diseñado con la no detección como principio central", dijo Mike Walker, director sénior de New Security Ventures de Microsoft. "El proyecto Freta tiene la intención de automatizar y democratizar los análisis forenses de VM hasta un punto en el que cada usuario y cada empresa pueda barrer la memoria volátil en busca de malware desconocido con solo pulsar un botón, sin necesidad de configuración".

El objetivo es inferir la presencia de malware de la memoria, al mismo tiempo ganar la ventaja en la lucha contra los actores de amenazas que despliegan y reutilizan malware sigiloso en los sistemas de destino para motivos ulteriores, y lo que es más importante, hacer que la evasión sea inviable y aumentar el costo de desarrollo de malware en la nube indetectable.

En ese sentido, el "sistema de detección de confianza" funciona abordando cuatro aspectos diferentes que harían que los sistemas sean inmunes a tales ataques en primer lugar, evitando que cualquier
programa:


- Detectar la presencia de un sensor de seguridad antes de instalarse
- Residir en un área que está fuera de la vista del sensor
- Detectar el funcionamiento del sensor y, en consecuencia, borrarse o modificarse para escapar de la detección
- Manipulación de las funciones del sensor para causar sabotaje

"Cuando los atacantes y defensores comparten una microarquitectura, cada movimiento de detección que un defensor hace perturbar el medio ambiente de una manera que finalmente es detectable por un atacante invertido en el secreto", señaló Walker. "La única manera de descubrir a estos atacantes es eliminar su visión de la defensa." Abierto a cualquier persona con una cuenta de Microsoft Account (MSA) o Azure Active Directory (AAD), Project Freta permite a los usuarios enviar imágenes de memoria (archivos .vmrs, .lime, .core o .raw) a través de un portal en línea o una API,publicación que se genera un informe detallado que se adenta en diferentes secciones (módulos de núcleo, archivos en memoria, rootkits potenciales, procesos y más) que se pueden exportar a través del formato JSON.

Microsoft dijo que se centró en Linux debido a la necesidad de tomar huellas dactilares de los sistemas operativos en la nube de una manera independiente de la plataforma de una imagen de memoria codificada. También citó la mayor complejidad del proyecto, dado el gran número de kernels disponibles públicamente para Linux.

Esta versión inicial de Project Freta admite más de 4.000 kernels de Linux, con soporte de Windows en la canalización.

También está en el proceso de agregar una capacidad de sensor que permite a los usuarios migrar la memoria volátil de las máquinas virtuales en vivo a un entorno sin conexión para un análisis posterior y más herramientas de toma de decisiones basadas en IA para la detección de amenazas.

"El objetivo de este esfuerzo de democratización es aumentar el costo de desarrollo del malware en la nube no descubierto hacia su máximo teórico", dijo Walker. "Los productores de malware sigiloso estarían atrapados en un costoso ciclo de reinsinsión completa, haciendo de tal nube un lugar inadecuado para los ciberataques.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta