Scanner De Rootkit Pour Microsoft Linux Forensics

Microsoft a annoncé une nouvelle initiative gratuite visant à découvrir des preuves médico-légales de sabotage sur les systèmes Linux, y compris des rootkits et des logiciels malveillants intrusifs qui pourraient autrement ne pas être détectés.

L’offre cloud, surnommée Projet Freta, est un mécanisme médico-légal de mémoire basé sur les instantanés qui vise à fournir une inspection automatisée de la mémoire volatile complète du système des instantanés de machine virtuelle (VM), avec des capacités de détection des logiciels malveillants, rootkits du noyauet d’autres techniques malveillantes furtives telles que masquage de processus.

Le projet porte le nom de Varsovie Freta Street, berceau de Marie Curie, la célèbre physicienne franco-polonaise qui a apporté Imagerie médicale aux rayons X sur le champ de bataille pendant la Première Guerre mondiale

« Les logiciels malveillants modernes sont complexes, sophistiqués et conçus avec la non-découvrabilité comme principe de base », a déclaré Mike Walker, directeur principal de New Security Ventures chez Microsoft. «Le projet Freta a l’intention d’automatiser et de démocratiser la criminalistique des machines virtuelles à un point où chaque utilisateur et chaque entreprise peuvent balayer la mémoire volatile des malwares inconnus en appuyant sur un bouton – aucune configuration requise.»

L’objectif est de déduire la présence de logiciels malveillants de la mémoire, tout en prenant le dessus dans la lutte contre les acteurs de la menace qui déploient et réutilisent des logiciels malveillants furtifs sur des systèmes cibles pour des motifs cachés, et plus important encore, rendent l’évasion infaisable et augmentent le développement coût des logiciels malveillants cloud non détectables.

Publicité
Rootkit

À cet effet, le «système de détection de confiance» fonctionne en s’attaquant à quatre aspects différents qui rendraient les systèmes immunisés contre de telles attaques en premier lieu en empêchant tout programme de:

  • Détecter la présence d’un capteur de sécurité avant de s’installer
  • Résider dans une zone hors de vue du capteur
  • Détecter le fonctionnement du capteur et, par conséquent, s’effacer ou se modifier pour échapper à la détection, et
  • Altération des fonctions du capteur pour provoquer un sabotage

« Lorsque les attaquants et les défenseurs partagent une microarchitecture, chaque mouvement de détection effectué par un défenseur perturbe l’environnement d’une manière qui peut être découverte par un attaquant investi dans le secret », a noté Walker. « La seule façon de découvrir de tels attaquants est de retirer leur vision de la défense. »

Ouvert à toute personne possédant un compte Microsoft (MSA) ou Azure Active Directory (AAD), Project Freta permet aux utilisateurs de soumettre des images mémoire (fichiers .vmrs, .lime, .core ou .raw) via un portail en ligne ou une API, publie un rapport détaillé généré qui fouille dans différentes sections (modules du noyau, fichiers en mémoire, rootkits potentiels, processus, etc.) qui peuvent être exportées via le format JSON.

Microsoft a déclaré qu’il se concentrait sur Linux en raison de la nécessité de prendre les empreintes digitales des systèmes d’exploitation dans le cloud d’une manière indépendante de la plate-forme à partir d’une image de mémoire brouillée. Il a également cité la complexité accrue du projet, compte tenu du grand nombre de noyaux accessibles au public pour Linux.

Cette version initiale de Project Freta prend en charge plus de 4 000 noyaux Linux, avec la prise en charge de Windows dans le pipeline.

Il est également en train d’ajouter une capacité de capteur qui permet aux utilisateurs de migrer la mémoire volatile des machines virtuelles en direct vers un environnement hors ligne pour une analyse plus approfondie et davantage d’outils décisionnels basés sur l’IA pour la détection des menaces.

« Le but de cet effort de démocratisation est d’augmenter le coût de développement des logiciels malveillants cloud non détectables vers son maximum théorique », a déclaré Walker. « Les producteurs de logiciels malveillants furtifs seraient alors enfermés dans un cycle coûteux de réinvention complète, faisant d’un tel cloud un endroit inapproprié pour les cyberattaques. »

Le portail d’analyse en ligne peut être accessible ici. La documentation complète pour Project Freta est disponible ici.

Rate this post
Publicité
Article précédentMeilleures applications pour l’enregistrement de podcasts en ligne
Article suivantVirginia Tech s’associe à Dive Technologies pour lancer un véhicule sous-marin autonome
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici