Microsoft Project Freta detecta malwares em VMs rodando Linux

Sem fazer barulho, a Microsoft Research anunciou, no início da semana, um serviço gratuito de análise forense nas nuvens que detecta rootkits, cryptominers e outros malwares sofisticados em máquinas virtuais (VM, na sigla em inglês) baseadas em Linux. A iniciativa recebeu o nome de Project Freta.

O foco sobre malwares avançados é, presumivelmente, uma resposta ao fato de invasões a servidores geralmente serem orquestradas por ataques complexos que, como tal, exploram ferramentas mais sofisticadas que softwares maliciosos “normais”. Soluções de antivírus, por exemplo, costumam ter pouco efeito protetor nessas circunstâncias.

Via de regra, sistemas de detecção de malwares monitoram certas tarefas com base em “sensores”, isto é, conjuntos limitados de dados para identificar atividade suspeita. O problema é que, mesmo sendo sofisticado, esse monitoramento pode ser burlado pelos invasores, o que exige que novas estratégias de proteção sejam adotadas de tempos em tempos.

Para lidar com isso, a Microsoft idealizou uma abordagem diferente para o Project Freta: basicamente, o serviço analisa um imagem instantânea da memória volátil (RAM) da máquina virtual tendo como referência um grande volume de dados. Com isso, o sistema pode identificar as características de diferentes ambientes e como os malwares se comportam em cada um deles.

Esse grande volume de dados advém justamente da análise de máquinas virtuais baseadas em Linux. Por rodar nas nuvens, o Project Freta consegue ter um panorama sempre atualizado sobre o que está acontecendo.

Microsoft Project Freta - detecção de rootkit

De acordo com a Microsoft Research, o projeto oferece quatro benefícios principais:

  • Detecção de software malicioso, rootkits de kernel, ocultação de processos e outros recursos usados em ataques;
  • Facilidade de uso (não é preciso recorrer a configurações complexas para efetuar as varreduras);
  • Inspeção de memória que não requer instalação de nenhum software;
  • Possibilidade de automatizar tarefas a partir das nuvens.

Na atual fase, o Project Freta é compatível com mais de 4 mil variações do kernel Linux. Os relatórios são disponibilizados via site oficial, mas também podem ser gerados em ferramentas baseadas em Python, por exemplo.

É possível saber mais na documentação do Project Freta e na página oficial da iniciativa (exige uma conta Microsoft).

Com informações: Bleeping Computer.

Microsoft Project Freta detecta malwares em VMs rodando Linux

Recommended Posts