这篇博客文章是由Aditya Joshi联合撰写的，他是企业保护和检测的高级软件工程师。攻击者越来越多地使用更隐蔽的方法来避免被发现。无文件攻击利用软件漏洞，将恶意负载注入良性系统进程，并隐藏在内存中。这些技术可以最大限度地减少或消除磁盘上的恶意软件痕迹，并大大降低基于磁盘的恶意软件扫描解决方案检测到的机会。为了应对这一威胁，Azure安全中心于2018年10月发布了针对Windows的无文件攻击检测。我们2018年的博客文章解释了安全中心如何在Windows上检测外壳代码、代码注入、负载混淆技术和其他无文件攻击行为。我们的研究表明，Linux工作负载上的无文件攻击也在增加。今天，Azure Security Center很高兴地宣布了一个用于检测Linux上的无文件攻击的预览。在这篇文章中，我们将描述一个真实的Linux上的无文件攻击，介绍我们的无文件攻击检测功能，并为预览提供引导Linux上的真实世界无文件攻击我们看到的一个常见模式是攻击者将磁盘上打包的恶意软件的有效负载注入内存，并从磁盘中删除原始恶意文件。下面是一个最近的例子：攻击者通过识别在已知端口（8088）上运行的服务来感染Hadoop群集，并使用Hadoop YARN未经验证的远程命令执行支持来在计算机上实现运行时访问。请注意，订阅的所有者可以通过配置Security Center JIT来减轻此阶段的攻击。攻击者将包含打包恶意软件的文件复制到temp目录并启动它。恶意进程使用外壳代码解包文件，在进程自己的内存空间中分配新的动态可执行内存区域，并将可执行负载注入新的内存区域。然后，恶意软件将执行转移到注入的ELF入口点。恶意进程从磁盘上删除原始打包的恶意软件以掩盖其踪迹注入的ELF负载包含一个外壳代码，用于监听传入的TCP连接，从而传输攻击者的指令。扫描仪很难检测到这种攻击。有效载荷隐藏在模糊层后面，只在磁盘上出现很短的时间。通过无文件攻击检测预览，安全中心现在可以在内存中识别这些类型的有效载荷，并通知用户有效载荷的能力。无文件攻击检测功能与Windows的无文件攻击检测一样，此功能扫描所有进程的内存，以查找无文件工具包、技术和行为的证据。在预览过程中，我们将启用并完善我们的分析，以检测用户端恶意软件的以下行为：著名的工具箱和加密挖掘软件进程内存的可执行区域中的外壳代码、注入的ELF可执行文件和恶意代码。基于ldu PRELOAD的rootkits预加载恶意库。将进程的特权从非根提升到根。使用ptrace远程控制另一个进程。如果检测到，您将在"安全警报"页面中收到警报。警报包含补充信息，如使用的技术类型、流程元数据和网络活动。这使分析人员能够更好地了解恶意软件的性质，区分不同的攻击，并在选择修复步骤时做出更明智的决定。 扫描是非侵入性的，不会影响系统上的其他进程。绝大多数扫描在5秒内运行。由于所有内存分析都是在主机本身上执行的，因此在整个过程中，数据的隐私都受到保护。扫描结果只包含与安全相关的元数据和可疑有效载荷的详细信息。入门要注册此特定预览或我们正在进行的预览程序，请表明您对"无文件攻击检测预览"感兴趣一旦您选择挂载，此功能将自动部署到您的Linux机器上，作为Log Analytics Agent for Linux（也称为OMS Agent）的扩展，它支持本文档中描述的Linux OS发行版。此解决方案支持Azure、跨云和内部部署环境。参与者必须注册到标准或标准试用定价层才能从该功能中获益。要了解有关Azure安全中心的更多信息，请访问Azure安全中心页面。