Proyecto Freta: nuevo servicio de Microsoft para la investigación forense de memoria volátil en Linux
Desde Microsoft nos llega información sobre la iniciativa Proyecto Freta (el homónimo del proyecto, la calle Freta de Varsovia, fue el lugar de nacimiento de Marie Curie, pionera de los Rayos X en la Primera Guerra Mundial), servicio en la nube que busca ofrecer un análisis de memoria volátil de VMs, permitiendo detectar rootkits o malware avanzado. Con esto se busca aumentar el costo de desarrollo de malware no detectable en la nube lo máximo posible, haciendo que los sistemas que trabajen en dicha nube no sean un lugar adecuado para ataques.
En palabras de la compañía americana:
Cuando los atacantes crean malware que no se puede detectar, obtienen un enorme valor económico. Por el contrario, una vez que se descubre una cepa de malware, su valor se desploma junto con su reutilización. La pregunta para los defensores es entonces: ¿Cómo podemos aumentar el costo del no descubrimiento? ¿Hay algún punto más allá del cual una clase de malware ya no sea económicamente viable?
- Valores globales y direcciones
- Procesos depurados
- Archivos en memoria
- Mesa de interrupción del núcleo
- Módulos del núcleo
- Mesa de syscall de kernel
- Redes
- Abrir archivos
- Tabla ARP (arp)
- Enchufes abiertos
- Procesos
- Tomas Unix (lsof)
Se espera que en un futuro se implemente la opción de migrar la memoria volátil en vivo a un entorno de análisis offline sin interrumpir la ejecución, soporte para Windows, extender las capacidades de análisis, así como poder experimentar con IA para la detección de nuevas amenazas.
Se puede ver más información aquí.