Microsoft-Dienst testet Linux-VMs auf Malware
Projekt Freta durchsucht Speicherabzüge von VMs nach Hinweisen auf Rootkits und andere Malware. Die Analyse des Systems soll so der Malware verborgen bleiben.
(Bild: antb/Shutterstock.com)
- Dr. Oliver Diedrich
Microsoft hat einen Cloud-Dienst vorgestellt, der Linux-VMs auf Malware testet. Das Besondere an Project Freta: Die Untersuchung funktioniert, ohne dass dazu ein Malware-Wächter oder sonst eine Instrumentierung in der VM installiert werden muss oder der Hypervisor den Gast aktiv überwacht.
Wie Microsoft in einem Blogbeitrag zu Project Freta ausführt, prüft immer mehr Malware die Zielsysteme zunächst auf die Existenz bekannter Überwachungsmechanismen und versucht dann, sich dem zu entziehen. Der Freta-Dienst untersucht deshalb Memory Dumps der Linux-VMs. Die können Admins auf verschiedenen Wegen erstellen: von außen mit den Snapshot-Tools von Hyper-V und VMware oder aus der VM heraus mit dem – ebenfalls von Microsoft entwickelten – Linux-Tool AVML oder über das Kernel-Modul LiMe. Das Speicher-Image der VM kann man dann auf dem Freta-Portal hochladen und analysieren lassen. Dazu ist ein Microsoft- oder AAD-Account (Azure Active Directory) nötig.
(Bild: Microsoft)
Das Ergebnis der Analyse ist ein ausführlicher Report. Dazu sucht Projekt Freta im Speicher nach Hinweisen auf typische Rootkit-Aktionen. Diese potenziellen Rootkit-Aktionen müssen dann freilich noch näher untersucht werden. Unterstützung für Windows-VMs will Microsoft später nachliefern.
(odi)
