Бесплатный сервис от Microsoft позволит обнаружить руткиты в Linux
Project Freta проводит автоматическую проверку энергозависимой памяти по снапшотам виртуальной машины.
Компания Microsoft запустила бесплатный облачный сервис для поиска признаков компрометации Linux-систем, в частности руткитов и вредоносного ПО. Project Freta представляет собой механизм для проведения криминалистической экспертизы памяти. Решение проводит автоматическую полносистемную проверку энергозависимой памяти по снапшотам виртуальной машины и способно выявлять вредоносное ПО, руткиты и другие вредоносные техники наподобие скрытия процессов.
Воспользоваться Project Freta может каждый, у кого есть учетная запись Microsoft (MSA) или Azure Active Directory (AAD). Пользователи могут вносить снапшоты (файлы .vmrs, .lime, .core или .raw) через online-портал или API и получать подробный отчет по разным категориям (модулям ядра, файлам в памяти, потенциальным руткитам, процессам и пр.), который можно экспортировать в формате JSON.
Как сообщили специалисты Microsoft, они сосредоточились на Linux из-за существующей необходимости создания отпечатков ОС в облаке, независимо от платформы, по скремблированным снапшотам. Кроме того, по их словам, проект Linux становится все более сложным из-за большого количества доступных ядер. В своей текущей версии Project Freta поддерживает более 4 тыс. ядер Linux.
Online-портал для проведения экспертизы доступен здесь. С документацией Project Freta можно ознакомиться здесь.
Снапшот виртуальной машины – своего рода фотоснимок виртуальной машины, а точнее, ее текущего состояния. Как правило, виртуальная машина используется для тестирования и экспериментов, поэтому в нее вносятся изменения. Иногда эти изменения необходимо быстро откатить назад, для чего и существуют снапшоты, возвращающие виртуальную машину к исходному состоянию.
Скремблирование – обратимое преобразование цифрового потока без изменения скорости передачи с целью получения свойств случайной последовательности. Одной из областей применения скремблеров является защита передаваемой информации от несанкционированного доступа.
Источник: www.securitylab.ru
