اخبار امنیت

سرویس رایگان جرم‌شناسی و شناسایی بدافزارهای لینوکسی، مایکروسافت

۲۱ تیر ۱۳۹۹

سرویس رایگان جرم‌شناسی و شناسایی بدافزارهای لینوکسی، مایکروسافت

Freta

Freta ابزار رایگان و جدید مایکروسافت است که برای شناسایی و کشف روت‌کیت‌ها و بدافزارها در سیستم‌های لینوکسی معرفی شده است. سرویس ابری Freta از طریق تحلیل‌های خودکاری که بر روی snapshotهای گرفته شده از ماشین‌های مجازی انجام می‌دهد در حقیقت یک عملیات وارسی حافظه را انجام داده و از این طریق بدافزارهای پیچیده و پیشرفته‌ای که از روش‌های مختلف پنهان سازی مانند پنهان سازی فرآیندها (process Hiding) استفاده می‌کنند را شناسایی می‌نماید.

Freta در واقع نام خیابانی در ورشو (پایتخت لهستان) است، مکانی که ماری کوری مخترع X-ray در آن چشم به جهان گشود. ماری کوری در جریان جنگ جهانی اول با اختراع X-ray تصویر برداری پزشکی را بنیان نهاد. می‌توان علت این نامگذاری را شباهت دو روش در استفاده از تصویربرداری در راستای تشخیص دانست.

مایک واکر مدیر ارشد تیم تحقیقاتی New Security Ventures در مایکروسافت می‌گوید Freta باید به جایی برسد که کاربران بدون نیاز به دانش خاصی و یا حتی انجام تنظیمات و تنها با فشردن یک دکمه بتوانند بدافزارهای پیچیده و پیشرفته را از حافظه سیستم‌های مجازیشان پاک کنند.

البته هدف پروژه‌ Freta تنها شناسایی بدافزارها از طریق بررسی حافظه نیست. بلکه Freta در جریان کار خود با استفاده از روش‌های هوش مصنوعی از مهاجمان پیشی گرفته و به آن‌ها اجازه حرکت بیشتر و نفوذ را از طریق بدافزارهایی که موفق شده‌اند در سیستم قربانیان نصب نمایند را نمی‌دهد. ابزار Freta به دلیل هوشمندی هزینه بدافزارهای پیشرفته‌ ابری را افزایش می‌دهد. زیرا توسعه دهندگان این بدافزار‌ها مجبور به گنجاندن راهکارهای پیشرفته‌تری برای فرار از شناسایی هستند. همین افزایش هزینه خود عامل مهمی است تا نرخ توسعه و استفاده از بدافزارهای اینچنینی کاهش یابد. یعنی Freta علاوه بر کاهش زمان شناسایی هزینه یک حمله موفق را نیز افزایش می‌دهد.

در این دسته از راهکارهای یک جریان دو طرفه بین مهاجمین و مدافعین وجود دارد. مهاجمین می‌خواهند شناسایی نشوند، مدافعین هم می‌خواهند حضور آن‌ها توسط مهاجمین تشخیص داده نشود. در همین راستا یک سیستم حسگر قابل اعتماد “trusted sensing system” چهار موضوع زیر را باید دربربگیرد

  • نرم افزارها قبل از نصب نباید پی به وجود این سیستم حسگر ببرند
  • نتوانند در محیطی نصب شوند که از دید این سیستم حسگر خارج است
  • نتوانند این سیستم حسگر را تشخیص دهند تا به منظور فرار از آن اقداماتی نظیر  پاک کردن یا تغییر دادن خود را انجام دهند
  • نتوانند خود را با عملکرد سیستم حسگر تطبیق دهند و به خرابکاری خود ادامه دهند

پروژه Freta به تمام افرادی که دارای حساب کاربری مایکروسافت (MSA) یا Azure Active Directory هستند این امکان را می‌دهد تا از طریق API و یا درگاه آنلاین، snapshotهای تهیه شده از حافظه را با پسوندهای “.vmrs”، “.lime”، “.core” و “.raw”  بارگذاری نموده و از گزارش تفصیلی تولید شده در قالب JSON که شامل ماژول‌های هسته، فایل‌های حافظه، روت‌کیت‌های بالقوه، فرآیندها و … می‌باشد استفاده نمایند.

بنا بر اعلام مایکروسافت، علت تمرکز بر روی سیستم‌عامل لینوکس، لزوم فرآیند Fingerprinting سیستم‌عامل در فضای ابری با شیوه platform-agnostic از حافظه بوده است. این شرکت همچنین با توجه به تعدد هسته‌های لینوکسی در دسترس عموم، به پیچیدگی بالای این پروژه اشاره نموده است.

در حال حاضر نسخه اولیه پروژه Freta بیش از ۴۰۰۰ هسته لینوکس را پشتیبانی می‌کند. در آینده نزدیک، این پروژه شامل ابزارهای هوش مصنوعی بیشتری برای فرآیندهای تصمیم‌گیری و شناسایی تهدیدات خواهد بود. همچنین امکاناتی به حسگرهای این پروژه اضافه خواهد شد که به کمک آن‌ها، کاربران قادر خواهند بود تا حافظه بی‌ثبات ماشین‌های مجازی را برای تجزیه و تحلیل به یک محیط آفلاین منتقل کنند.

به نقل از واکر هدف از راه‌اندازی این سیستم، به حداکثر رساندن هزینه‌های توسعه بدافزارهای غیرقابل شناسایی می‌باشد. بنابراین فرآیند توسعه بدافزارهای مخفی وارد چرخه پرهزینه‌ای برای ابداع روش‌های جدید خواهد شد و فضای ابری را به مکانی نامناسب برای حملات سایبری تبدیل خواهد کرد.

آرمان داده پویان ارائه‌دهنده محصولات و راهکارهای امنیتی

با ما تماس بگیرید

تعداد بازدید: 110


تازه ترین ها