A Microsoft Research desenvolveu um sistema chamado Project Freta para verificar a existência de malware em milhares de máquinas virtuais (VMs) na nuvem. Project Freta foi lançou como um protótipo para uso público.
Máquinas virtuais são versões de software que executam programas como se fossem em um computador real, só que em um ambiente em nuvem, também chamado de processo de virtualização. Uma máquina virtual pode ser definida como “uma duplicata eficiente e isolada de uma máquina real”. Ela replica um PC executando um sistema operacional como Linux ou Windows. Muitas VMs podem ser executadas em uma única peça de hardware ao mesmo tempo. Isso levou a ambientes na nuvem com milhares de máquinas virtuais sendo executadas simultaneamente. Isso cria um desafio para os administradores de sistemas que desejam garantir que nenhuma das VMs esteja executando malware.
As ferramentas de gerenciamento de nuvem resolveram isso examinando as máquinas virtuais em busca de malware, mas isso envolve a execução de software de suporte em cada VM. Isso consome tempo e pode alertar os malwares em execução no sistema que algo está procurando por ele. Em alguns casos, pode fazer com que o malware perceba que está sendo executado em uma máquina virtual e se encerre, escapando à detecção.
Veja isso
Microsoft adquire a empresa de segurança de IoT Cyberx
Microsoft alerta sobre campanha de phishing com tema covid-19
A Microsoft Research desenvolveu o Projeto Freta para separar completamente o que chama de plano de segurança do plano de computação, verificando várias máquinas virtuais e permanecendo invisível ao malware. Para isso, era necessário um mecanismo de verificação que deixasse a memória da VM completamente intocada.
O Projeto Freta verifica a memória da máquina virtual sem executar nada nela. Em seguida, define quais objetos de sistema a VM retém com base em uma captura instantânea do sistema Linux na memória, procurando processos, arquivos na memória, módulos e redes do kernel, entre outras coisas.
O sistema pode detectar rootkit (malware projetado para permitir o acesso privilegiado a um computador ou a uma área do software) e outros malwares avançados, informou a empresa em um post no blog que anuncia o projeto.
A equipe de pesquisa desenvolveu o software em Rust, que é uma linguagem de programação com propriedades de segurança de memória incorporadas.
O sistema processa várias máquinas virtuais em pouco tempo e é equipado para impressões digitais dos sistemas operacionais a partir da imagem da memória. Tudo começou com a varredura do Linux, porque existem muitos kernels diferentes disponíveis para esse sistema operacional. “Com o Linux para trás, o suporte do Windows está no nosso roteiro”, disse a empresa.
Os administradores já podem testá-lo vinculando suas contas do Azure ao portal do projeto, embora a Microsoft esteja retendo uma funcionalidade extra que permite copiar a memória de máquinas virtuais ativas para um ambiente de análise offline. “Isso deve permitir que ele seja dimensionado para mais de 10 mil VMs por vez”, afirmou a Microsoft Research.