مایکروسافت ابتکار جدیدی (پروژه Freta) را برای استفاده رایگان با هدف کشف مدارک فورنسیک خرابکاری در سیستمهای لینوکس، ازجمله روتکیتها و دژافزارهای مزاحم منتشر کرد که در غیر این صورت ممکن است کشف نشوند.
این ارائهی ابری که پروژه Freta نامگذاری شده است[۱] یک مکانیسم فورنسیک حافظه مبتنی بر اسنپشات است که هدف آن ارائهی خودکار بازرسی حافظه فرار کامل سیستم از اسنپشاتهای دستگاه مجازی (VM) است، با امکاناتی برای شناسایی نرمافزارهای موذی، روتکیتهای کرنل[۲] و تشخیص سایر تکنیکهای دژافزاری مخفی مانند مخفی کردن فرآیند[۳].
این پروژه پس از Warsaw’s Freta Street، زادگاه ماری کوری[۴]، فیزیکدان معروف فرانسوی-لهستانی که تصویربرداری پزشکی اشعه ایکس[۵] را در طول جنگ جهانی اول به میدان نبرد آورد، نامگذاری شده است.
مایک واکر، مدیر ارشد مایکروسافت در New Security Ventures دراینباره گفت: “دژافزارهای مدرن پیچیده، پیشرفته و باقابلیت غیرقابلکشف شدن هستند. پروژه Freta در نظر دارد تا فورنسیک ماشین مجازی را بهطور خودکار و دموکراتیک کند تا جایی که هر کاربر و هر شرکتی میتواند با فشار یک دکمه، حافظهی فرار را برای دژافزارهای ناشناخته بدون نیاز به نصب کردن جابجا کند.”
هدف، استنباط وجود دژ افزار از حافظه است، درعینحال به دست آوردن دست بالاتر در مبارزه با مجرمان سایبری است که با استفاده از دژافزارهای مخفی در سیستمهای مورد هدف برای انگیزههای پنهان و مهمتر از همه، فرار را غیرقابل انجام میکند و هزینه پیادهسازی دژ افزار ابریِ غیرقابل تشخیص را افزایش میدهد.
برای این منظور ، “سیستم سنجش قابلاعتماد” با مقابله با چهار جنبهی مختلف کار میکند که باعث میشود سیستمها در وهله اول از هرگونه حملهای مصون باشند، به این صورت که هر برنامهای از انجام موارد زیر منع میشود:
- تشخیص وجود حسگر امنیتی قبل از نصب خود برنامه
- قرار گرفتن در محلی که خارج از دید حسگر امنیتی باشد.
- تشخیص عملکرد حسگر و بر همین اساس پاک کردن یا اصلاح خود برای فرار از تشخیص داده شدن
- مداخله کردن در عملکرد حسگر امنیتی بهمنظور ایجاد خرابکاری
واکر خاطرنشان کرد: “هنگامیکه مهاجمان و مدافعان یک microarchitecture مشترک دارند، هر حرکتی که یک مدافع انجام دهد باعث ایجاد اختلال در محیط میشود تا درنهایت توسط یک مهاجم کشف شود. تنها راه کشف چنین مهاجمانی حذف بینش آنها به دفاع است.”
پروژه Freta به کاربرانی که دارای حساب کاربری مایکروسافت یا حساب کاربری Azure Active Directory هستند، اجازه میدهد تا تصاویر حافظه (.vmrs، .lime، .core، یا فایلهای خام) را از طریق درگاه آنلاین یا یک API ارسال کنند[۶]. که گزارش مفصلی تولید میشود که به بخشهای مختلف (ماژولهای کرنل، فایلهای در حافظه، روتکیتهای بالقوه، فرآیندها و موارد دیگر) که از طریق قالب JSON صادر میشود، منتقل میشود.
مایکروسافت اعلام کرد که به دلیل نیاز به سیستمعامل اثرانگشت در ابر به شیوهی پلت فرم-آگونیستیک از یک حافظه تقریب یافته، روی لینوکس متمرکز شده است. این شرکت همچنین با توجه به تعداد زیاد کرنلهای در دسترس عموم برای لینوکس، به پیچیدگی بیشتر این پروژه اشاره کرد.
این نسخه اولیهی پروژهی Freta از بیش از ۴۰۰۰ کرنل لینوکس پشتیبانی میکند، که از ویندوز در pipeline پشتیبانی میکند.
همچنین در حال اضافه کردن یک قابلیت حسگر است که به کاربران امکان میدهد حافظه فرار ماشینهای مجازیهای در حال کار را برای تجزیهوتحلیل بیشتر و ابزارهای تصمیمگیری مبتنی بر هوش مصنوعی بیشتر برای شناسایی تهدید، به یک محیط آفلاین انتقال دهند.
واکر دراینباره گفت: “هدف از این تلاش دموکراتیک سازی، افزایش هزینههای پیادهسازی دژافزارهای غیرقابلکشف ابری به حداکثر تئوری آن است. تولیدکنندگان دژافزارهای مخفی پسازآن در چرخهی گرانقیمت اختراع مجدد قرار میگیرند و render چنین ابری به مکانی نامناسب برای حملات سایبری تبدیل میشود.”
در اینجا[۷] پورتال تحلیل آنلاین قابلدسترسی است. مستندات کامل پروژه Freta نیز در اینجا[۸] موجود است.
منابع
[۱]https://www.microsoft.com/en-us/research/blog/toward-trusted-sensing-for-the-cloud-introducing-project-freta
[۲] https://docs.microsoft.com/en-us/security/research/project-freta/report/potential-rootkits
[۳] https://www.jstage.jst.go.jp/article/ipsjjip/25/0/25_866/_article
[۴] https://en.wikipedia.org/wiki/Maria_Sk%C5%82odowska-Curie_Museum
[۵] https://spectrum.ieee.org/the-institute/ieee-history/how-marie-curie-helped-save-a-million-soldiers-during-world-war-i
[۶] https://docs.microsoft.com/en-us/security/research/project-freta/api
[۷] https://freta.azurewebsites.net
[۸] https://docs.microsoft.com/en-us/security/research/project-freta
[۹] https://thehackernews.com/2020/07/f5-big-ip-application-security.html
ثبت ديدگاه