Microsoft telah mengumumkan inisiatif gratis bebas pakai yang bertujuan mencari bukti forensik sabotase pada sistem Linux, termasuk rootkit dan malware yang mengganggu yang mungkin tidak terdeteksi.
Aplikasi cloud, dijuluki Project Freta, adalah mekanisme forensik memori berbasis-snapshot yang bertujuan untuk menyediakan inspeksi memori volatile sistem dari snapshot mesin virtual (VM), dengan kemampuan untuk melihat perangkat lunak berbahaya, rootkit kernel, dan teknik malware tersembunyi lainnya seperti proses persembunyian.
"Malware modern itu kompleks, canggih, dan dirancang dengan tidak dapat ditemukan sebagai prinsipnya," kata Mike Walker, direktur senior Microsoft dari New Security Ventures. "Project Freta bermaksud untuk mengotomatisasi dan menyebarkan forensik VM ke titik di mana setiap pengguna dan setiap perusahaan dapat meneliti memori volatile untuk malware yang tidak dikenal dengan menekan satu tombol - tidak perlu pengaturan."
Tujuannya adalah untuk mendapatkan keberadaan malware pada memori, pada saat yang sama mendapatkan keunggulan dalam perang melawan aktor pembuatnya yang menyebarkan dan menggunakan kembali malware tersembunyi pada sistem target untuk motif tersembunyi, dan yang lebih penting, membuat metode penghindaran dari deteksi tidak dapat dilakukan dan meningkatkan pengembangan biaya malware cloud.
Untuk itu, "sistem pendeteksi tepercaya" bekerja dengan menangani empat aspek berbeda yang akan membuat sistem kebal terhadap serangan dengan mencegah program apa pun melakukan:
1. Mendeteksi keberadaan sensor keamanan sebelum menginstal sendiri
2. Berada di area yang tidak terlihat oleh sensor
3. Mendeteksi operasi sensor dan menghapus atau memodifikasi sendiri untuk menghindari deteksi, dan
4. Merusak fungsi sensor
"Ketika penyerang dan korban berbagi mikroarsitektur, setiap gerakan deteksi yang dilakukan korban mengganggu lingkungan mesin dengan cara yang pada akhirnya dapat ditemukan oleh penyerang yang menginfeksi dengan metode tersembunyi," Walker mencatat. "Satu-satunya cara untuk menemukan penyerang semacam itu adalah dengan menghapus akses mereka pada metode pertahanan mesin."
Terbuka untuk siapa saja dengan akun Microsoft Account (MSA) atau Azure Active Directory (AAD), Project Freta memungkinkan pengguna mengirimkan snapshot memori (.vmrs, .lime, .core, atau file .raw) melalui portal online atau API, kemudian laporan terperinci dihasilkan yang menyelidiki bagian-bagian yang berbeda (modul kernel, file dalam memori, rootkit potensial, proses, dan banyak lagi) yang dapat diekspor melalui format JSON.
Microsoft mengatakan proyek ini berfokus pada Linux karena kebutuhan untuk deteksi pengenalan sistem operasi di cloud secara platform-agnostik dari snapshot memori acak. dan juga meningkatnya kompleksitas proyek, mengingat banyaknya kernel yang tersedia umum untuk Linux.
Versi rilis awal Project Freta ini mendukung lebih dari 4.000 kernel Linux, dengan dukungan Windows dalam rencana ke depannya.
Sekarang sedang dalam proses menambahkan kemampuan sensor yang memungkinkan pengguna untuk memigrasi snapshot memori volatile live VMs ke lingkungan offline untuk analisis lebih lanjut dan lebih banyak tool pengambilan keputusan berbasis AI untuk deteksi ancaman.
"Tujuan dari upaya penyebarluasan ini adalah untuk meningkatkan biaya pengembangan malware cloud tersemunyi ke tingkat maksimum teoretisnya," kata Walker. "Produsen malware stealth kemudian akan dikunci ke dalam siklus pembangunan ulang lengkap yang mahal, menjadikan cloud tempat yang tidak cocok untuk serangan cyber."
Aplikasi cloud, dijuluki Project Freta, adalah mekanisme forensik memori berbasis-snapshot yang bertujuan untuk menyediakan inspeksi memori volatile sistem dari snapshot mesin virtual (VM), dengan kemampuan untuk melihat perangkat lunak berbahaya, rootkit kernel, dan teknik malware tersembunyi lainnya seperti proses persembunyian.
"Malware modern itu kompleks, canggih, dan dirancang dengan tidak dapat ditemukan sebagai prinsipnya," kata Mike Walker, direktur senior Microsoft dari New Security Ventures. "Project Freta bermaksud untuk mengotomatisasi dan menyebarkan forensik VM ke titik di mana setiap pengguna dan setiap perusahaan dapat meneliti memori volatile untuk malware yang tidak dikenal dengan menekan satu tombol - tidak perlu pengaturan."
Tujuannya adalah untuk mendapatkan keberadaan malware pada memori, pada saat yang sama mendapatkan keunggulan dalam perang melawan aktor pembuatnya yang menyebarkan dan menggunakan kembali malware tersembunyi pada sistem target untuk motif tersembunyi, dan yang lebih penting, membuat metode penghindaran dari deteksi tidak dapat dilakukan dan meningkatkan pengembangan biaya malware cloud.
Untuk itu, "sistem pendeteksi tepercaya" bekerja dengan menangani empat aspek berbeda yang akan membuat sistem kebal terhadap serangan dengan mencegah program apa pun melakukan:
1. Mendeteksi keberadaan sensor keamanan sebelum menginstal sendiri
2. Berada di area yang tidak terlihat oleh sensor
3. Mendeteksi operasi sensor dan menghapus atau memodifikasi sendiri untuk menghindari deteksi, dan
4. Merusak fungsi sensor
"Ketika penyerang dan korban berbagi mikroarsitektur, setiap gerakan deteksi yang dilakukan korban mengganggu lingkungan mesin dengan cara yang pada akhirnya dapat ditemukan oleh penyerang yang menginfeksi dengan metode tersembunyi," Walker mencatat. "Satu-satunya cara untuk menemukan penyerang semacam itu adalah dengan menghapus akses mereka pada metode pertahanan mesin."
Terbuka untuk siapa saja dengan akun Microsoft Account (MSA) atau Azure Active Directory (AAD), Project Freta memungkinkan pengguna mengirimkan snapshot memori (.vmrs, .lime, .core, atau file .raw) melalui portal online atau API, kemudian laporan terperinci dihasilkan yang menyelidiki bagian-bagian yang berbeda (modul kernel, file dalam memori, rootkit potensial, proses, dan banyak lagi) yang dapat diekspor melalui format JSON.
Microsoft mengatakan proyek ini berfokus pada Linux karena kebutuhan untuk deteksi pengenalan sistem operasi di cloud secara platform-agnostik dari snapshot memori acak. dan juga meningkatnya kompleksitas proyek, mengingat banyaknya kernel yang tersedia umum untuk Linux.
Versi rilis awal Project Freta ini mendukung lebih dari 4.000 kernel Linux, dengan dukungan Windows dalam rencana ke depannya.
Sekarang sedang dalam proses menambahkan kemampuan sensor yang memungkinkan pengguna untuk memigrasi snapshot memori volatile live VMs ke lingkungan offline untuk analisis lebih lanjut dan lebih banyak tool pengambilan keputusan berbasis AI untuk deteksi ancaman.
"Tujuan dari upaya penyebarluasan ini adalah untuk meningkatkan biaya pengembangan malware cloud tersemunyi ke tingkat maksimum teoretisnya," kata Walker. "Produsen malware stealth kemudian akan dikunci ke dalam siklus pembangunan ulang lengkap yang mahal, menjadikan cloud tempat yang tidak cocok untuk serangan cyber."