Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12925 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
微软推出新项目,可在系统内存快照中查找恶意软件
本文来自公众号:FreeBuf   2020.07.08 18:37:54


微软推出了一个名为Project Freta的新项目,这是一项基于云的免费产品,允许用户在操作系统内存快照中查找恶意软件(例如rootkit)。

Project Freta这个名字来自玛丽·居里(Marie Curie)出生的华沙弗雷塔大街(Freta Street),是她将X射线医学成像技术带到了战场上。

让我们来详细的了解一下这个项目:

新项目的主要优点

1.可以通过直接操作捕获虚拟机快照,通过无代理操作检测新的恶意软件、内核rootkits、进程隐藏和其他入侵构件

2.非常容易使用:提交捕获的图像就可以生成其内容的报告

3.内存检查意味着无需安装软件,也无需通知恶意软件来疏散或销毁数据

4.用于将类似IR的发现任务直接自动化到云结构中,从采集工具捕获的易失性内存快照也可以用于虚拟化不可用的裸机场景

该项目的初始版本Freta支持4000多个Linux内核,虽然目前仅供Linux系统使用,但是微软将来会增加对Windows系统的调查支持。

微软表示,Project Freta是基于快照的内存取证解决方案,旨在自动执行虚拟机(VM)快照的全系统易失性内存检查。

虽然基于快照的内存取证已经有二十年,但还没有商业云能够为客户提供对数千个虚拟机(VM)进行全内存审计的功能,而无需侵入式捕获机制和进行事先的取证准备。

“就像过去的胶片相机和今天的智能手机有着相似的百万像素,但使用性和可用性却有着巨大的不同,Freta项目打算通过自动化和民主化的虚拟机取证,使每个用户和每个企业只需按一个按钮就可以清除未知恶意软件的易失性内存,且不用进行额外的设置。”

该项目的分析服务,包括进程、全局值和地址、内存文件、调试的进程、内核组件、网络、ARP表、打开的文件、打开的套接字和Unix套接字。

Freta项目通过门户网站提供,用户可以上传他们的操作系统映像进行分析,平台生成的结果可以直接在门户上访问,也可以通过REST和pythonapi访问。

然而这个解决方案对于启动感染链之前无法检测到传感器的恶意软件是透明的,这意味着对恶意代码实现的规避技术是无效的。

对此,“受信任的感知系统”通过处理四个不同的方面来开展工作,首先通过防御程序使系统免受此类攻击,然后微软在增加Windows支持的基础上,计划去扩展分析功能并实施基于AI的决策制定来检测新的威胁。

Freta项目实现“受信任感知系统”的第二个组件是为Azure构建传感器,它使操作员可以将实时虚拟机的易失性内存迁移到脱机分析环境中,而不会中断执行。

最后微软表示:“此传感器功能于2019年冬季完成,但目前尚未应用于我们的任何商业云执行官简报和演示中,仅限微软研究人员使用。这种传感器与Freta分析环境相结合,展示了对大型企业(10,000多个VM)进行廉价的自动内存取证审计的途径。”

参考来源

securityaffairs

本文作者:日影飞趣51, 转载请注明来自FreeBuf.COM

精彩推荐