微软在Azure Security Center加入对Linux无文件攻击的防御能力,该功能会扫描内存中的所有程序,以寻找无文件攻击的踪迹,每次扫描花费约5秒钟时间,目前这项功能还在预览阶段。
无文件攻击是一种恶意程序会试图隐藏足迹的黑客攻击手法,常见的方式为攻击者利用磁盘上的恶意程序,将恶意负载注射到内存中,接着将磁盘上的文件删除,这技术能大幅减少或是完全消除,磁盘上恶意软件存在过的痕迹,且降低被磁盘恶意软件扫描程序侦测到的机会。
微软提到,扫描程序很难侦测这类攻击,因为恶意负载隐藏在混淆层(Layers of Obfuscation)中,且只在磁盘上存在很短的时间。而现在Azure Security Center能够识别Linux上的无文件攻击,侦测内存中这类恶意负载,并告知用户其破坏能力。
跟在Windows上的无文件攻击侦测一样,Linux无文件攻击侦测功能会扫描所有程序的内存,寻找无文件攻击工具、技术以及行为等证据,目前已经可以侦测到的恶意程序,包括加密货币挖矿程序、使用ptrace的远程控制行为,以及特权提升,另外,也可侦测基于LD_PRELOAD的Rootkit,预加载的恶意函数库,或是在程序内存中可执行区域出现的Shellcode、注入的ELF可执行文件和恶意程序代码等。
一旦Azure Security Center侦测到这些威胁,用户会在安全警示页面收到通知,警示内容会有详细的攻击内容,包含技术类型、程序元数据以及网络活动,这让分析人员可以了解恶意软件特性,有助于选择后续要采取的行动。
在内存中寻找恶意负载的过程,为非侵入性的扫描,不会影响系统上的其他程序,绝大多数的扫描都会在5秒钟内结束,微软也强调,所有内存分析都在本机上完成,扫描结果也仅会有安全性相关的元数据以及可疑恶意负载的详细信息,能保护用户的数据隐私安全。