Microsoftは12月1日(米国時間)、公式ブログのエントリ「Fileless Attack Detection for Linux is now Generally Available - Microsoft Tech Community」において、Linux向けのファイルレス攻撃検出機能(Fileless Attack Detection for Linux)の一般提供を開始したと伝えた。Linux向けのファイルレス攻撃検出機能は2020年初めに発表され、これまではプレビュー版として提供されてきたが、今後は正式版としてAzure Defenderに登録されているAzure Linux VMおよび非AzureのLinuxマシンで利用できるという。

ファイルレス攻撃は、通常のマルウェア攻撃とは異なり、攻撃対象のマシンにソフトウェアをインストールしない。代わりに、すでにインストールされている既存のソフトウェアを乗っ取って攻撃に悪用する。ファイルレス攻撃ではマルウェアに感染した痕跡がファイルの形で残らないため、通常のアンチウィルスソフトウェアでは検出が難しいという問題がある。

Azure Defenderによるファイルレス攻撃を検出するにあたっては、定期的にマシンのメモリをスキャンして、ファイルレス攻撃の痕跡を走査する。具体的には、ファイルシステムによってサポートされていない動的に割り当てられたコードセグメントを識別し、これをスキャンして特定の動作およびインジケーターを探す。多くの場合、ファイルレスマルウェアはメモリ内にプロセス制御や動的メモリ割り当て悪意のある挙動の痕跡を残すという。

何らかのファイルレス攻撃の痕跡が検出された場合は、次のようにアラートが表示される。

  • ファイルレス攻撃検出のアラートの例 − 画像: Azure Security Centerより

    ファイルレス攻撃検出のアラートの例  資料: Azure Security Center

アラートには、プロセスのメタデータなど、次のアクションを支援するための詳細情報が含まれるという。

  • アラートに含まれる情報の例 − 画像: Azure Security Centerより

    アラートに含まれる情報の例  資料:Azure Security Center

このファイルレス攻撃検出機能はAzure Defenderによって提供されるため、保護対象に含めたいAzure VMやマシンはあらかじめAzure Defenderに登録しておく必要があるとのこと。