微软推出免费Linux取证和Rootkit恶意软件检测服务

微软宣布了一项新的免费使用计划，旨在发现Linux系统遭到破坏的法医证据，包括rootkit和侵入性恶意软件，否则可能无法被发现。

云服务被称为Project Freta，是一种基于快照的内存取证机制，旨在为虚拟机（VM）快照提供自动化的全系统易失性内存检查，具有发现恶意软件、内核rootkit和进程隐藏等其他隐蔽恶意软件技术的能力。

该项目以华沙的弗雷塔街命名，弗雷塔街是著名的法国-波兰物理学家玛丽·居里的出生地，她在第一次世界大战期间将X射线医学成像带到了战场。

“现代恶意软件是复杂的、复杂的，其设计以不可发现性为核心原则，”微软新安全风险投资高级总监迈克·沃克说。“Project Freta打算将虚拟机取证自动化和民主化，使每个用户和每个企业都可以通过一个按钮—；无需安装，即可扫描易失性内存中未知的恶意软件。”

其目的是从内存中推断恶意软件的存在，同时在打击出于不可告人的动机在目标系统上部署和重用秘密恶意软件的威胁行为者的斗争中占上风，更重要的是，使规避变得不可行，并增加不可发现的云恶意软件的开发成本。


为此，“可信感知系统”的工作原理是解决四个不同方面的问题，通过防止任何程序：

• 在安装自身之前检测是否存在安全传感器
• 居住在传感器看不见的区域
• 检测传感器的操作，并相应地擦除或修改自身以逃避检测，以及
• 干扰传感器的功能以造成破坏

沃克指出：“当攻击者和捍卫者共享一个微体系结构时，捍卫者的每一个检测动作都会扰乱环境，最终被投入保密的攻击者发现。”。“发现此类攻击者的唯一方法是消除他们对防御的洞察力。”

Project Freta对任何拥有Microsoft帐户（MSA）或Azure Active Directory（AAD）帐户的人开放，它允许用户通过在线门户或API提交内存映像（.vmr、.lime、.core或.raw文件），文章将生成一份详细的报告，深入研究可以通过JSON格式导出的不同部分（内核模块、内存中的文件、潜在的rootkit、进程等）。

微软表示，它将重点放在Linux上，因为它需要以一种与平台无关的方式，从一个混乱的内存映像中提取云中操作系统的指纹。它还提到了该项目的复杂性增加，因为Linux有大量公开可用的内核。

Project Freta的初始版本支持4000多个Linux内核，Windows支持正在准备中。

它还正在添加传感器功能，允许用户将实时虚拟机的易失性内存迁移到离线环境中进行进一步分析，并使用更多基于人工智能的决策工具进行威胁检测。

沃克说：“这项民主化努力的目标是将无法发现的云恶意软件的开发成本提高到理论上的最高水平”。“然后，秘密恶意软件的生产商将被锁定在一个昂贵的完全重新发明周期中，使这样的云不适合进行网络攻击。”

可以在此处访问在线分析门户。此处提供了Freta项目的完整文档。