Il malware fileless è una forma particolarmente insidiosa di attacco. Insidiosa perché è difficile da rilevare. Come indica la denominazione, si tratta di malware che non penetra nel sistema bersaglio sotto forma di file. O che perlomeno non ha una componente materialmente presente sul disco del nodo colpito. Quindi non può essere rilevato con la classica scansione dei dischi, aumentando la sua pericolosità.

Un malware fileless di solito sfrutta una vulnerabilità software che permette di inserire codice ostile direttamente nei processi di sistema. Questo codice resta in memoria e non ha una presenza sul disco. Perché dal disco proprio non è transitato. Alcuni malware fileless non sono esattamente fileless, almeno all'inizio. Entrano nel sistema colpito mediante un file, si caricano in memoria e poi cancellano il file che li ha lanciati. Quando operano sono quindi, a tutti gli effetti, fileless.

Il modus operandi dei malware fileless li rende talvolta meno pericolosi della media. Non avendo un eseguibile, basta un riavvio del sistema per "pulire" la RAM ed eliminare il malware. Una constatazione confortante, ma non sufficiente. L'infezione può ripetersi. E, soprattutto, molti server vengono riavviati raramente perché supportano processi che non si possono interrompere. Senza riavvio, il loro eventuale malware resta costantemente in azione.

I malware fileless si possono scoprire analizzando il contenuto della memoria di sistema. In una tecnica definita di memory forensic. Particolari zone della memoria vengono scandagliate alla ricerca di codice che si comporta in maniera sospetta. O che svolge operazioni già ben note e associate ai malware fileless. Circa un anno e mezzo fa, Microsoft ha sviluppato un modulo - Fileless Attack Detection - che svolge appunto questo compito.

Fileless Attack Detection analizza i processi eseguiti su Azure, in ambienti di cloud ibrido e on-premise. Ricerca ad esempio le poche istruzioni in assembly - il cosiddetto shell code - che i malware fileless usano per caricare il codice ostile vero e proprio. Ricerca anche payload più complessi che svolgono operazioni ostili, come una escalation dei privilegi utente.

Quando rileva potenziali minacce, Fileless Attack Detection comunica le sue analisi all'utente con un avviso in Azure Security Center. L'alert contiene tutte le informazioni per comprendere cosa sta succedendo. Ed attivare eventuali azioni di remediation. Ogni scansione, secondo Microsoft, impiega solo qualche secondo. E non mette a rischio la privacy dei dati gestiti dal processo dell'utente.

La novità è che Microsoft ha sviluppato una versione anteprima di Fileless Attack Detection che funziona per i sistemi Linux. Le funzioni sono le stesse, la nuova versione è stata sviluppata perché, secondo Microsoft, sta aumentando sensibilmente il numero degli attacchi fileless contro i workload Linux.