Project Freta, soluzione gratuita per rilevare il malware in ambiente Linux

I portavoce dei laboratori Microsoft Research hanno annunciato la disponibilità di un nuovo servizio basato sul cloud: per il momento battezzato Project Freta, si tratta di una piattaforma che aiuta a rilevare e neutralizzare eventuali componenti malevoli presenti nelle immagini delle macchine virtuali Linux.

Presentato a questo indirizzo, Project Freta consente di riconoscere rootkit, cryptominer e altre tipologie di malware grazie all’utilizzo di una serie di “sensori”. Ad esempio, il rilevamento di specifiche attività su un insieme di dati ristretto può essere riconducibile alla presenza di un malware.

Dal momento che i criminali informatici utilizzano sempre nuove modalità per sottrarsi ai meccanismi di scansione più tradizionali, Project Freta si occupa di ispezionare, in modo approfondito, anche il contenuto della memoria in tempo reale.

Al momento Project Freta supporta oltre 4.000 differenti versioni del kernel Linux e usa l’approccio cloud per monitorare il contenuto della memoria di migliaia di installazioni di macchine virtuali ottenendo dati aggiornati sul comportamento dei componenti malevoli.

Microsoft spiega che gli sforzi compiuti nei suoi laboratori con Project Freta mirano a rendere estremamente difficile ed economicamente impraticabile per i creatori di malware altamente qualificati lo sviluppo di componenti software capaci di sottrarsi al rilevamento.

Project Freta viene descritto come particolarmente abile nel rilevamento di nuovi software dannosi, kernel rootkit, meccanismi utilizzati per nascondere i processi in esecuzione senza l’utilizzo di “agent” e operando direttamente sulle immagini della configurazione di ciascun macchina virtuale.
La piattaforma viene presentata anche come molto semplice da usare: basta inviare un’immagine della memoria della macchina virtuale per generare un report del suo contenuto.

Per usare Project Freta basta accedere a questa pagina con un account Microsoft quindi effettuare l’upload dell’immagine della configurazione della memoria delle proprie macchine virtuali Linux usando formati quali Elf Core Dump (.core), LiME image (.lime), Raw Physical Memory Dump (.raw) o Hyper-V Memory Snapshot (.vmrs).

Le API Freta consentono di automatizzare la procedura di caricamento delle immagini della memoria, il controllo del contenuto e la gestione dei responsi generati (maggiori informazioni su GitHub dal momento che il codice per l’integrazione della scansione antimalware via API è stato reso opensource).