Microsoft ha annunciato un nuovo strumento gratuito dedicato alle analisi forensi sui sistemi Linux, per trovarne vulnerabilità, inclusi rootkit e malware che altrimenti potrebbero non essere rilevati.

Project Freta, questo il nome del servizio, è un meccanismo basato sull’analisi della memoria delle snapshot di macchine virtuali in grado di individuare software dannoso, rootkit del kernel e altri tipi di malware più “furtivi” come quelli in grado di nascondere il proprio processo.

Modern malware is complex, sophisticated, and designed with non-discoverability as a core tenet, Project Freta intends to automate and democratize VM forensics to a point where every user and every enterprise can sweep volatile memory for unknown malware with the push of a button — no setup required.

Il malware moderno è complesso, sofisticato e progettato con la non rivelabilità come principio fondamentale. Il progetto Freta intende automatizzare e democratizzare l’analisi forense in modo tale che ogni utente e ogni azienda possano eliminare dalla memoria malware sconosciuti con un solo click: nessuna configurazione necessaria.

Questo quanto sostenuto da Mike Walker, senior director per le Nuove Iniziative di Sicurezza Microsoft il cui intento è proprio quello di ridurre al minimo la presenza di malware su sistemi virtualizzati e rendendo sempre più complesso (e costoso) lo sviluppo di malware legati al cloud.

Project Freta utilizza un “trusted sensing system” che va ad affrontare quattro diversi aspetti che, se trattati nel modo corretto, renderebbero i sistemi al sicuro da attacchi, impedendo a qualsiasi programma di:

• rilevare la presenza di sonde di sicurezza prima dell’installazione stessa;
• risiedere in un area non non visibile dalla sonda;
• rilevare il funzionamento della sonda e di conseguenza cancellarsi oppure modificarsi per sfuggire alla rilevazione;
• manomettere la sonda per creare disservizio.

Il progetto è accessibile a chiunque disponga di un account Microsoft o Azure Active Directory, e consente agli utenti di inviare immagini di memoria (in formato .vmrs, .lime, .core o .raw) tramite un portale online o un’API, e dalla quale viene generato un report dettagliato che analizza diverse componenti – moduli del kernel, file in memoria, potenziali rootkit, processi e altro – che può essere esportato in JSON.

Microsoft ha affermato di essersi concentrata su Linux a causa della necessità di eseguire in maniera agnostica il fingerprinting dei sistemi operativi presenti sul cloud, partendo da un’immagine di memoria cifrata, sottolineando come Linux sia quello più complesso visto il numero di kernel disponibili.

Questa versione iniziale di Project Freta supporta oltre 4.000 kernel Linux. Il supporto per Windows invece è ancora in fase di sviluppo (!!!).

In cantiere ci sarebbe anche una funzionalità che consentirebbe agli utenti di migrare in tempo reale la memoria volatile delle VM in un ambiente offline per ulteriori analisi, in aggiunta ad alcuni strumenti basati sull’IA per la rilevazione di potenziali minacce.

Curiosità: Il progetto prende il nome da Ulica Freta, la via di Varsavia in cui nacque Marie Curie, come chiaro riferimento ai suoi studi su radiazioni (e successivamente, raggi X).

Elena Metelli

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.