Бесплатно Экспресс-аудит сайта:

08.07.2020

Бесплатный сервис от Microsoft позволит обнаружить руткиты в Linux

Компания Microsoft запустила бесплатный облачный сервис для поиска признаков компрометации Linux-систем, в частности руткитов и вредоносного ПО. Project Freta представляет собой механизм для проведения криминалистической экспертизы памяти. Решение проводит автоматическую полносистемную проверку энергозависимой памяти по снапшотам виртуальной машины и способно выявлять вредоносное ПО, руткиты и другие вредоносные техники наподобие скрытия процессов.

Воспользоваться Project Freta может каждый, у кого есть учетная запись Microsoft (MSA) или Azure Active Directory (AAD). Пользователи могут вносить снапшоты (файлы .vmrs, .lime, .core или .raw) через online-портал или API и получать подробный отчет по разным категориям (модулям ядра, файлам в памяти, потенциальным руткитам, процессам и пр.), который можно экспортировать в формате JSON.

Как сообщили специалисты Microsoft, они сосредоточились на Linux из-за существующей необходимости создания отпечатков ОС в облаке, независимо от платформы, по скремблированным снапшотам. Кроме того, по их словам, проект Linux становится все более сложным из-за большого количества доступных ядер. В своей текущей версии Project Freta поддерживает более 4 тыс. ядер Linux.

Online-портал для проведения экспертизы доступен здесь . С документацией Project Freta можно ознакомиться здесь .

Снапшот виртуальной машины – своего рода фотоснимок виртуальной машины, а точнее, ее текущего состояния. Как правило, виртуальная машина используется для тестирования и экспериментов, поэтому в нее вносятся изменения. Иногда эти изменения необходимо быстро откатить назад, для чего и существуют снапшоты, возвращающие виртуальную машину к исходному состоянию.

Скремблирование – обратимое преобразование цифрового потока без изменения скорости передачи с целью получения свойств случайной последовательности. Одной из областей применения скремблеров является защита передаваемой информации от несанкционированного доступа.