Microsoft cho ra mắt dịch vụ phát hiện mã độc miễn phí trên Linux: “Project Freta”


Microsoft cho ra mắt dịch vụ phát hiện mã độc miễn phí

Microsoft gần đây đã cho phát hành một dịch vụ phát hiện mã độc miễn phí được sử dụng để tìm kiếm bằng chứng forensic của các hành vi phá hoại trên các hệ thống Linux, bao gồm phần mềm độc hại rootkit và các mã độc khó phát hiện khác.

Dịch vụ đám mây này được đặt tên Project Freta, là một cơ chế memory forensic dựa trên snapshot. Nó được dùng để tự động kiểm tra volatile memory (bộ nhớ điện động) toàn hệ thống của các snapshot máy ảo (VM), và phát hiện ra các phần mềm độc hại, kernel rootkit, hay các kỹ thuật cấy mã độc ngầm khác như process hiding.

Dự án này được đặt theo tên con phố Freta của thủ đô Warsaw (Ba Lan), là nơi sinh của Marie Curie, nhà vật lý nổi tiếng người Pháp gốc Ba Lan, người đã đưa công nghệ X-quang đến chiến trường và cứu hàng triệu thương binh trong Thế chiến thứ nhất.

“Các mã độc hiện nay ngày càng phức tạp, tinh vi hơn và chúng được thiết kế dựa trên nguyên lý cốt lõi là hạn chế tối đa việc bị phát giác. Vậy nên, sự ra đời của Project Freta sẽ góp phần giúp tự động hóa và phổ biến hóa VM forensics để tất cả mọi người dùng và doanh nghiệp đều có thể quét bộ nhớ điện động và tìm ra mã độc chỉ bằng một nút bấm mà không yêu cầu bất cứ khâu thiết lập nào,” Mike Walker, giám đốc cấp cao của Microsoft New Security Ventures cho biết.

Mục tiêu của dự án này là phát hiện ra mã độc từ bộ nhớ, đồng thời chiếm thế thượng phong trong cuộc chiến chống lại những kẻ tấn công chuyên triển khai và tái sử dụng các mã độc lén lút cài trên máy nạn nhân nhằm phục vụ cho các động cơ nguy hiểm hơn trong tương lai. Và quan trọng hơn cả là khiến việc che giấu mã độc trở nên khó khăn hơn nhằm tăng chi phí phát triển các loại cloud malware khó phát giác này.

rootkit

Để đạt được mục tiêu đó, “trusted sensing system” (hệ thống cảm biến đáng tin) của dự án này hoạt động bằng cách giải quyết bốn khía cạnh khác nhau giúp hệ thống miễn nhiễm với các cuộc tấn công như vậy ngay từ đầu bằng cách chặn tất cả các chương trình nào:

  • Kiểm tra sự hiện diện của cảm biến bảo mật (security sensor) trước khi cài đặt chính nó vào hệ thống,
  • Nằm trong khu vực ngoài tầm kiểm soát của cảm biến,
  • Phát hiện hoạt động của cảm biến và vì thế, tự động xóa hoặc sửa đổi chính nó để tránh bị phát hiện, và
  • Giả mạo các chức năng của cảm biến để thực hiện các hành vi phá hoại.

“Khi những kẻ tấn công và các công cụ bảo vệ cùng chia sẻ một vi kiến ​​trúc, thì mọi hoạt động tìm kiếm của hệ thống cảm biến sẽ làm xáo trộn môi trường và cuối cùng sẽ thu hút sự chú ý của kẻ tấn công bí mật. Cách duy nhất để phát hiện được những kẻ tấn công như vậy là khiến chúng không cảnh giác và không chú tâm vào việc phòng thủ,” Walker lưu ý.

Project Freta miễn phí cho tất cả người dùng có tài khoản Microsoft Account (MSA) hoặc Azure Active Directory (AAD). Nó cho phép người dùng gửi memory image (hình ảnh bộ nhớ) như .vmrs, .lime, .core hoặc .raw thông qua một cổng thông tin điện tử (portal) hoặc API, post. Tại đó, một báo cáo chi tiết sẽ được tạo sau khi đi sâu vào phân tích, quét các phần khác nhau của hệ thống như kernel module, in-memory file, các phần mềm có khả năng là rootkit, các process, v.v. Báo cáo này sau đó có thể được xuất dưới định dạng JSON.

Microsoft cho biết họ tập trung vào Linux do nhu cầu tăng cao của OS fingerprinting trên đám mây không phụ thuộc nền tảng (platform-agnostic) từ một memory image bị xáo trộn. Và sự phức tạp ngày càng gia tăng của dự án cùng số lượng lớn các kernel có sẵn cho Linux cũng là lý do cho việc tập trung vào hệ điều hành này.

Phiên bản đầu tiên của Project Freta hỗ trợ hơn 4.000 Linux kernel, cùng với sự hỗ trợ của Windows trong pipeline.

Dự án này cũng đang trong quá trình bổ sung thêm một chức năng cảm biến cho phép người dùng di chuyển volatile memory của máy ảo trực tiếp sang một môi trường ngoại tuyến để phân tích sâu hơn. Đồng thời, bổ sung thêm các công cụ dựa trên nền tảng trí tuệ nhân tạo (AI) để phát hiện các mã độc nguy hại.

“Mục tiêu của việc phổ biến hóa công nghệ này là nhằm tăng chi phí phát triển của các cloud malware đến mức tối đa về mặt lý thuyết. Điều này sẽ khiến những kẻ sản xuất mã độc này bị giam trong một chu trình tái phát minh vô cùng đắt đỏ, và làm cho việc tấn công mạng vào các đám mây như vậy trở nên không còn phù hợp,” Walker nói.

Cổng phân tích trực tuyến có thể xem tại đây. Tài liệu đầy đủ của Project Freta có thể xem tại đây

Theo The Hacker News / Securitydaily.net

Thank you so much

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s