idNSA.id - Microsoft telah mengumumkan inisiatif baru free-to-use yang bertujuan mengungkap bukti forensik sabotase pada sistem Linux, termasuk rootkit dan malware mengganggu yang mungkin tidak terdeteksi.
Penawaran cloud, dijuluki Project Freta , adalah mekanisme forensik memori berbasis-snapshot yang bertujuan untuk menyediakan inspeksi memori volatile full sistem otomatis dari snapshot virtual machine (VM), dengan kemampuan untuk melihat perangkat lunak berbahaya, rootkit kernel , dan teknik malware tersembunyi lainnya seperti proses persembunyian.
Proyek ini dinamai setelah Freta Street di Warsawa , tempat kelahiran Marie Curie, fisikawan Prancis-Polandia terkenal yang membawa pencitraan medis sinar-X ke medan perang selama Perang Dunia I
"Malware modern itu kompleks, canggih, dan dirancang dengan non-dapat ditemukan sebagai prinsip inti," kata Mike Walker, direktur senior Microsoft dari New Security Ventures. "Project Freta bermaksud untuk mengotomatisasi dan mendemokratisasikan forensik VM ke titik di mana setiap pengguna dan setiap perusahaan dapat menyapu memori yang mudah menguap untuk malware yang tidak dikenal dengan menekan satu tombol - tidak perlu pengaturan."
Tujuannya adalah untuk menyimpulkan keberadaan malware dari memori, pada saat yang sama mendapatkan keunggulan dalam perang melawan aktor ancaman yang menyebarkan dan menggunakan kembali malware tersembunyi pada sistem target untuk motif tersembunyi, dan yang lebih penting, membuat penghindaran tidak dapat dilakukan dan meningkatkan pengembangan biaya malware cloud yang belum ditemukan.
Untuk itu, "sistem penginderaan tepercaya" bekerja dengan menangani empat aspek berbeda yang akan membuat sistem kebal terhadap serangan semacam itu di tempat pertama dengan mencegah program apa pun dari:
- Mendeteksi keberadaan sensor keamanan sebelum menginstal sendiri
- Berada di area yang tidak terlihat oleh sensor
- Mendeteksi operasi sensor dan menghapus atau memodifikasi sendiri untuk menghindari deteksi, dan
- Merusak fungsi sensor menyebabkan sabotase
"Ketika penyerang dan pembela berbagi mikroarsitektur, setiap gerakan deteksi yang dilakukan pembela membuat mengganggu lingkungan dengan cara yang pada akhirnya dapat ditemukan oleh penyerang yang berinvestasi dalam kerahasiaan," Walker mencatat. "Satu-satunya cara untuk menemukan penyerang semacam itu adalah dengan menghapus wawasan mereka tentang pertahanan."
Terbuka untuk siapa saja dengan akun Microsoft Account (MSA) atau Azure Active Directory (AAD), Project Freta memungkinkan pengguna mengirimkan gambar memori (.vmrs, .lime, .core, atau file .raw) melalui portal online atau API , posting di mana laporan terperinci dihasilkan yang menyelidiki bagian-bagian yang berbeda (modul kernel, file dalam memori, rootkit potensial, proses, dan banyak lagi) yang dapat diekspor melalui format JSON.
Microsoft mengatakan itu berfokus pada Linux karena kebutuhan untuk sistem operasi sidik jari di cloud secara platform-agnostik dari gambar memori acak. Ini juga mengutip meningkatnya kompleksitas proyek, mengingat banyaknya kernel yang tersedia untuk umum untuk Linux.
Versi rilis awal Project Freta ini mendukung lebih dari 4.000 kernel Linux, dengan dukungan Windows dalam pipeline.
Ini juga dalam proses menambahkan kemampuan sensor yang memungkinkan pengguna untuk memigrasi memori volatile live VMs ke lingkungan offline untuk analisis lebih lanjut dan lebih banyak alat pengambilan keputusan berbasis AI untuk deteksi ancaman.
"Tujuan dari upaya demokratisasi ini adalah untuk meningkatkan biaya pengembangan malware cloud yang tidak dapat ditemukan ke tingkat maksimum teoretisnya," kata Walker. "Produsen malware tersembunyi kemudian akan dikunci ke dalam siklus penemuan ulang lengkap yang mahal, menjadikan cloud seperti itu tempat yang tidak cocok untuk serangan cyber.”
Portal analisis online dapat diakses di sini . Dokumentasi lengkap untuk Project Freta tersedia di sini .
Sumber Artikel : TheHackerNews
