Dịch vụ miễn phí của Microsoft kiểm tra ảnh chụp bộ nhớ hệ điều hành để tìm phần mềm độc hại
Dịch vụ dựa trên đám mây Freta hiện chỉ hỗ trợ các hệ điều hành Linux, nhưng Microsoft cũng có kế hoạch bổ sung hỗ trợ cho Windows trong tương lai. Dự án nhằm cung cấp cách thức phân tích tự động trên hàng nghìn máy ảo nhằm tìm kiếm phần mềm độc hại từ các công cụ khai thác tiền điện tử đến rootkit, bằng cách xem hình ảnh được chụp của bộ nhớ mà không cần cài đặt agent.
Dịch vụ này sử dụng các cảm biến được thiết kế để phát hiện phần mềm độc hại, nhưng không để chúng phát hiện ra sự hiện diện của cảm biến. Theo Microsoft, công nghệ này được xây dựng để phần mềm độc hại không thể phát hiện cảm biến trước khi tự cài đặt, phần mềm độc hại không thể ẩn ở nơi mà cảm biến không nhìn thấy, phần mềm độc hại không thể phát hiện hoạt động của cảm biến và thực hiện hành động xóa hoặc thay đổi chính nó và phần mềm độc hại không thể sửa đổi cảm biến để tránh bị phát hiện.
Dịch vụ xem xét các quy trình, giá trị toàn cục và địa chỉ, tệp trong bộ nhớ, quy trình được gỡ lỗi, cấu phần của nhân hệ điều hành, mạng, bảng ARP, tệp mở, socket mở và Unix socket.
Dự án Freta hiện tồn tại như một cổng thông tin nơi người dùng có thể tải lên hình ảnh hệ điều hành của họ để phân tích. Kết quả có thể được truy cập trực tiếp trên cổng thông tin hoặc thông qua API REST và Python.
“Như một minh chứng về công nghệ, dự án Freta đang mở quyền truy cập công khai vào một cổng phân tích có khả năng tự động lấy dấu vân tay và kiểm tra ảnh chụp nhanh bộ nhớ của hầu hết các máy ảo Linux dựa trên đám mây”, Mike Walker, Giám đốc cấp cao của New Security Ventures tại Microsoft, cho biết trong một bài đăng trên blog.
Ngoài việc bổ sung hỗ trợ Windows, Microsoft có kế hoạch mở rộng khả năng phân tích và thực hiện việc ra quyết định dựa trên AI để phát hiện các mối đe dọa mới.
Nguyễn Anh Tuấn
Security Week