Trang chủ Tin Tức

Microsoft cho ra mắt dịch vụ phát hiện mã độc miễn phí trên Linux: "Project Freta"

Microsoft cho ra mắt dịch vụ phát hiện mã độc miễn phí trên Linux:

Microsoft gần đây đã phát hành một dịch vụ phát hiện mã độc miễn phí. Phần mềm được sử dụng để tìm kiếm bằng chứng cụ thể cho các hành vi phá hoại trên các hệ thống Linux, bao gồm phần mềm độc hại rootkit và các mã độc khó phát hiện khác.

Dịch vụ đám mây này được đặt tên Project Freta, là một cơ chế memory forensic dựa trên snapshot. Project Freta được dùng để tự động kiểm tra volatile memory (bộ nhớ điện động) toàn hệ thống của các snapshot máy ảo (VM), và phát hiện ra các phần mềm độc hại, kernel rootkit, hay các kỹ thuật cấy mã độc ngầm khác như process hiding.

Dự án được đặt tên theo con phố Freta của thủ đô Warsaw (Ba Lan), là nơi sinh của Marie Curie, nhà vật lý nổi tiếng người Pháp gốc Ba Lan, người đã đưa công nghệ X-quang đến chiến trường và cứu hàng triệu thương binh trong Thế chiến thứ nhất.

"Các mã độc hiện nay ngày càng phức tạp, tinh vi hơn và chúng được thiết kế dựa trên nguyên lý cốt lõi là hạn chế tối đa việc bị phát giác. Vậy nên, sự ra đời của Project Freta sẽ góp phần giúp tự động hóa và phổ biến hóa VM forensics để tất cả mọi người dùng và doanh nghiệp đều có thể quét bộ nhớ điện động và tìm ra mã độc chỉ bằng một nút bấm mà không yêu cầu bất cứ khâu thiết lập nào," Mike Walker, giám đốc cấp cao của Microsoft New Security Ventures cho biết.

Mục tiêu của dự án này là phát hiện ra mã độc từ bộ nhớ, đồng thời chiếm thế thượng phong trong cuộc chiến chống lại những kẻ tấn công chuyên triển khai và tái sử dụng các mã độc cài bất hợp pháp trên máy nạn nhân nhằm phục vụ cho các động cơ nguy hiểm hơn trong tương lai. Và quan trọng hơn cả là gây khó khăn cho việc che giấu mã độc nhằm tăng chi phí phát triển các loại cloud malware khó phát giác này.

Microsoft cho ra mắt dịch vụ phát hiện mã độc miễn phí trên Linux: "Project Freta" - Ảnh 1.

Để đạt được mục tiêu đó, "trusted sensing system" (hệ thống cảm biến có độ tin cậy cao) của dự án sẽ giải quyết bốn khía cạnh khác nhau, Qua đó giúp hệ thống miễn nhiễm với các cuộc tấn công như vậy ngay từ đầu khi chặn tất cả các chương trình từ việc:

  • Kiểm tra sự hiện diện của cảm biến bảo mật (security sensor) trước khi cài đặt chính nó vào hệ thống,
  • Nằm trong khu vực ngoài tầm kiểm soát của cảm biến,
  • Phát hiện hoạt động của cảm biến và dựa trên đó để tự động xóa hoặc sửa đổi chính nó để tránh bị phát hiện,
  • Giả mạo các chức năng của cảm biến để thực hiện các hành vi phá hoại.

"Khi những kẻ tấn công và các công cụ bảo vệ cùng chia sẻ một vi kiến trúc, thì mọi hoạt động tìm kiếm của hệ thống cảm biến sẽ gây ra những xáo trộn khiến những kẻ tấn công bí mật chú ý. Cách duy nhất để phát hiện được những kẻ tấn công như vậy là khiến chúng không cảnh giác và không chú tâm vào việc phòng thủ," Walker lưu ý.

Project Freta miễn phí cho tất cả người dùng có tài khoản Microsoft Account (MSA) hoặc Azure Active Directory (AAD). Công cụ cho phép người dùng gửi memory image (hình ảnh bộ nhớ) như .vmrs, .lime, .core hoặc .raw thông qua một cổng thông tin điện tử (portal) hoặc API, post. Tại đó, báo cáo chi tiết sẽ được tạo sau khi đã thực hiện phân tích, quét các phần khác nhau của hệ thống như kernel module, in-memory file, các phần mềm có khả năng là rootkit, các process, v.v. Báo cáo này sau đó có thể được xuất dưới định dạng JSON.

Microsoft cho biết họ tập trung vào Linux do nhu cầu về OS fingerprinting trên đám mây không phụ thuộc nền tảng (platform-agnostic) từ một memory image bị xáo trộn đang tăng cao. Bên cạnh đó, với thực tế là các dự án ngày càng phức tạp hơn, cùng số lượng các kernel có sẵn cho Linux cũng rất lớn, là các lý do dẫn đến việc tập trung vào hệ điều hành này.

Phiên bản đầu tiên của Project Freta hỗ trợ hơn 4.000 Linux kernel, cùng với sự hỗ trợ của Windows trong pipeline.

Dự án này cũng đang trong quá trình bổ sung thêm một chức năng cảm biến cho phép người dùng di chuyển volatile memory của máy ảo trực tiếp sang một môi trường ngoại tuyến để phân tích sâu hơn. Đồng thời, bổ sung thêm các công cụ dựa trên nền tảng trí tuệ nhân tạo (AI) để phát hiện các mã độc nguy hại.

"Mục tiêu của việc phổ biến hóa công nghệ này là nhằm tăng chi phí phát triển của các cloud malware đến mức tối đa về mặt lý thuyết. Điều này sẽ khiến những kẻ sản xuất mã độc này mắc kẹt trong một chu trình tái phát minh vô cùng đắt đỏ, và do đó việc tấn công mạng vào các đám mây như vậy trở nên không còn phù hợp," Walker nói. Cổng phân tích trực tuyến có thể xem tại đây và tài liệu đầy đủ của Project Freta bạn đọc cũng có thể tham khảo tại đây.

Theo thehackernews

>> Có thể bạn quan tâm: Các biến thể TrickBot Linux hoạt động trở lại sau khi bị triệt phá 

BizFly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí tối ưu nhất, được vận hành bởi VCCorp.

BizFly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật, tiêu chuẩn an toàn thông tin của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Độc giả quan tâm đến các giải pháp của BizFly Cloud có thể truy cập tại đây.