Microsoft a dévoilé lundi Project Freta, un service gratuit qui permet aux utilisateurs de trouver des rootkits et d’autres logiciels malveillants sophistiqués dans les instantanés de mémoire du système d’exploitation.

Freta est le nom de la rue de Varsovie, en Pologne, où la célèbre scientifique Marie Curie est née. Le nom du projet est lié à Marie Curie inventant un appareil à rayons X mobile qui pourrait être emmené sur un champ de bataille.

Le service cloud de Project Freta ne prend actuellement en charge que les systèmes Linux, mais Microsoft prévoit également d’ajouter la prise en charge de Windows.

Le projet Freta vise à fournir aux organisations un moyen sans agent d’effectuer une analyse judiciaire automatisée sur des milliers de machines virtuelles à la recherche de logiciels malveillants – allant des mineurs de crypto-monnaie aux rootkits – en regardant une image capturée de mémoire volatile.

Le service s’appuie sur des capteurs conçus pour détecter les logiciels malveillants, mais sans avertir les logiciels malveillants. Selon Microsoft, la technologie est conçue pour que les logiciels malveillants ne puissent pas détecter le capteur avant de s’installer, les logiciels malveillants ne peuvent pas se cacher là où ils ne seraient pas vus par le capteur, le logiciel malveillant ne peut pas détecter le fonctionnement du capteur et prendre des mesures pour se supprimer ou se changer, et les logiciels malveillants ne peuvent pas modifier le capteur pour échapper à la détection.

Le service examine les processus, les valeurs et adresses globales, les fichiers en mémoire, les processus débogués, les composants du noyau, les réseaux, les tables ARP, les fichiers ouverts, les sockets ouverts et les sockets Unix.

Project Freta est actuellement disponible sous forme de portail où les utilisateurs peuvent télécharger leurs images de système d’exploitation pour analyse. Les résultats sont accessibles directement sur le portail ou via les API REST et Python.

«En tant que démonstration technologique, Project Freta ouvre l’accès public à un portail d’analyse capable de prendre automatiquement les empreintes digitales et d’auditer un instantané de la mémoire de la plupart des machines virtuelles Linux basées sur le cloud; plus de 4 000 versions du noyau sont prises en charge automatiquement », Mike Walker, directeur principal de …