Microsoft lanza un servicio gratuito de detección de malware forense y rootkit para Linux

Escáner de rootkit forense de microsoft linux

Microsoft ha anunciado una nueva iniciativa de uso gratuito destinada a descubrir pruebas forenses de sabotaje en sistemas Linux, incluidos rootkits y malware intrusivo que, de lo contrario, podrían pasar desapercibidos.

La oferta en la nube, denominada Proyecto Freta, es un mecanismo forense de memoria basado en instantáneas que tiene como objetivo proporcionar una inspección automatizada de memoria volátil de todo el sistema de instantáneas de máquinas virtuales (VM), con capacidades para detectar software malicioso, rootkits de kernel y otras técnicas de malware sigilosas. como la ocultación de procesos.

El proyecto lleva el nombre de la calle Freta de Varsovia, el lugar de nacimiento de Marie Curie, la famosa física franco-polaca que llevó las imágenes médicas de rayos X al campo de batalla durante la Primera Guerra Mundial.

«El malware moderno es complejo, sofisticado y está diseñado con la imposibilidad de ser descubierto como un principio básico», dijo Mike Walker, director senior de New Security Ventures de Microsoft. «El Proyecto Freta tiene la intención de automatizar y democratizar el análisis forense de VM hasta el punto en que todos los usuarios y todas las empresas puedan barrer la memoria volátil en busca de malware desconocido con solo presionar un botón, sin necesidad de configuración».

El objetivo es inferir la presencia de malware de la memoria, al mismo tiempo ganar ventaja en la lucha contra los actores de amenazas que implementan y reutilizan malware sigiloso en los sistemas objetivo por motivos ulteriores y, lo que es más importante, hacer que la evasión sea inviable y aumentar el desarrollo. costo del malware en la nube no detectable.

rootkit

En ese sentido, el «sistema de detección confiable» funciona abordando cuatro aspectos diferentes que harían que los sistemas sean inmunes a tales ataques en primer lugar al evitar que cualquier programa:

  • Detectar la presencia de un sensor de seguridad antes de instalarse
  • Residir en un área que está fuera de la vista del sensor
  • Detectar el funcionamiento del sensor y, en consecuencia, borrarlo o modificarlo para escapar de la detección, y
  • Manipulación de las funciones del sensor para causar sabotaje

«Cuando los atacantes y los defensores comparten una microarquitectura, cada movimiento de detección que hace un defensor perturba el entorno de una manera que eventualmente puede ser descubierta por un atacante invertido en el secreto», señaló Walker. «La única forma de descubrir a tales atacantes es eliminar su visión de la defensa».

Abierto a cualquier persona con una cuenta de Microsoft (MSA) o una cuenta de Azure Active Directory (AAD), Project Freta permite a los usuarios enviar imágenes de memoria (archivos .vmrs, .lime, .core o .raw) a través de un portal en línea o una API, publicar el cual se genera un informe detallado que profundiza en diferentes secciones (módulos del kernel, archivos en memoria, posibles rootkits, procesos y más) que se pueden exportar a través del formato JSON.

Microsoft dijo que se centró en Linux debido a la necesidad de tomar huellas dactilares de los sistemas operativos en la nube de una manera independiente de la plataforma a partir de una imagen de memoria codificada. También citó la mayor complejidad del proyecto, dada la gran cantidad de kernels disponibles públicamente para Linux.

Esta versión de lanzamiento inicial de Project Freta es compatible con más de 4000 kernels de Linux, y se está preparando la compatibilidad con Windows.

También está en proceso de agregar una capacidad de sensor que permita a los usuarios migrar la memoria volátil de las máquinas virtuales en vivo a un entorno fuera de línea para un análisis más detallado y más herramientas de toma de decisiones basadas en inteligencia artificial para la detección de amenazas.

«El objetivo de este esfuerzo de democratización es aumentar el costo de desarrollo del malware en la nube no detectable hacia su máximo teórico», dijo Walker. «Los productores de malware sigiloso se verían atrapados en un costoso ciclo de reinvención completa, lo que convertiría a esa nube en un lugar inadecuado para los ataques cibernéticos».

Se puede acceder al portal de análisis en línea aquí. La documentación completa del Proyecto Freta está disponible aquí.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática