Microsoft onthult Project Freta voor malwaredetectie in geheugen

Abonneer je gratis op Techzine!

Microsoft heeft recent de gratis anti-malwaredienst Freta onthuld. Met deze dienst zijn securityspecialisten in staat om offline volatiel geheugen te scannen op potentiële malware.

Het Project Freta moet malware in geheugenomgevingen aantonen die op één of andere manier nog niet door bestaande malware-sensors is ontdekt of zichzelf heeft vernietigd om ontdekking te voorkomen.

Snapshot van geheugen

De tool maakt het mogelijk om een virtual machine (vm)-snapshot te maken van actieve geheugenacties, om offline eventueel daarin aanwezige malware te identificeren. Dit voordat de kwaadaardige code zijn aanwezigheidssporen kan verbergen en daarbij eventueel data vernietigt.

Wanneer een snapshot is gemaakt, kan het handmatig of automatisch via een API worden geüpload naar de Project Freta-portal. Vervolgens wordt de snapshot geanalyseerd en krijgen de uploaders een rapport met daarin de bevindingen. Dit gebeurt op detailniveau op het moment dat de image werd gecreëerd.

Hiervoor wordt in de rapportage informatie gegeven over de inspectie van onder meer kernel modules, interrupt table-en in-memorybestanden. Ook wordt naar rootkits gezocht. Wel geven de ontwikkelaars aan dat niet alles in één keer wordt ontdekt. Zij adviseren meerdere snapshots te maken in een tijdsperiode. Dit om malware te ontdekken die alleen op bepaalde tijden functioneert of om te reageren op bepaalde gebeurtenissen.

Verder zorgt de oplossing ervoor – en dan vooral de offline-werkmethode- dat geen instructies op gast-omgevingen hoeven worden uitgevoerd. Ook is er geen invloed op het OS. Verder is het niet nodig om agents te installeren.

Ondersteuning

De dienst ondersteunt nu in eerste instantie alleen Linux, inmiddels al 4.000 Linux kernels. Freta accepteert hiervoor vier verschillende geheugen images: Hyper-V Memory Snapshot (.vmrs files), LiME image (.lime files), Elf Core Dump of Physical Memory (.core files) en Raw Physical Memory Dump (.raw files.)

Microsoft is ook bezig de dienst verder uit te breiden. Inmiddels staat ondersteuning voor Windows op de roadmap. Daarnaast is er een sensor ontwikkeld voor Microsoft Azure. Deze sensor moet het volatiele geheugen van live vm’s gaan analyseren zonder deze te draaien. Op dit moment hebben alleen de specialisten van Microsoft toegang tot de sensor. Verder wordt ook nog nagedacht over de implementatie van kunstmatige intelligentie.

Project Freta is op dit moment een gratis dienst, maar niet open-source. Microsoft heeft wel een client-side SDK ter beschikking gesteld op GitHub.