Panoramica di Virtual Machine Threat Detection

Questa pagina fornisce una panoramica di Virtual Machine Threat Detection.

Panoramica

Virtual Machine Threat Detection è un servizio integrato di Security Command Center disponibile nei livelli Enterprise e Premium. Questo servizio esegue la scansione delle istanze Compute Engine per rilevare applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.

Virtual Machine Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center ed è progettata per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.

I risultati di VM Threat Detection sono minacce di alta gravità che ti consigliamo di risolvere immediatamente. Puoi visualizzare i risultati di VM Threat Detection in Security Command Center.

Per le organizzazioni registrate a Security Command Center Premium, le scansioni di VM Threat Detection vengono attivate automaticamente. Se necessario, puoi disabilitare o abilitare il servizio a livello di progetto. Per ulteriori informazioni, consulta Attivare o disattivare il rilevamento delle minacce alla VM.

Come funziona VM Threat Detection

VM Threat Detection è un servizio gestito che esegue la scansione dei progetti e delle istanze di macchine virtuali (VM) Compute Engine abilitati per rilevare applicazioni potenzialmente dannose in esecuzione nelle VM, come software di mining di criptovalute e rootkit in modalità kernel.

La figura seguente è un'illustrazione semplificata che mostra come il motore di analisi di VM Threat Detection importa i metadati dalla memoria guest della VM e scrive i risultati in Security Command Center.

Percorso dei dati semplificato per Virtual Machine Threat Detection
Percorso di dati semplificato per Virtual Machine Threat Detection

Il rilevamento delle minacce VM è integrato nell'hypervisor di Google Cloud, una piattaforma sicura che crea e gestisce tutte le VM Compute Engine.

VM Threat Detection esegue periodicamente scansioni dall'hypervisor nella memoria di una VM guest in esecuzione senza mettere in pausa il funzionamento della guest. Inoltre, esegue periodicamente la scansione dei cloni dei dischi. Poiché questo servizio opera dall'esterno dell'istanza VM guest, non richiede agenti guest o configurazioni speciali del sistema operativo guest ed è resistente alle contromisure utilizzate dai malware sofisticati. All'interno della VM guest non vengono utilizzati cicli della CPU e la connettività di rete non è richiesta. I team di sicurezza non devono aggiornare le firme o gestire il servizio.

Come funziona il rilevamento del mining di criptovalute

Basato sulle regole di rilevamento delle minacce di Google Cloud, VM Threat Detection analizza le informazioni sul software in esecuzione sulle VM, tra cui un elenco di nomi di applicazioni, utilizzo della CPU per processo, hash di pagine di memoria, contatori delle prestazioni hardware della CPU e informazioni sul codice macchina eseguito per determinare se un'applicazione corrisponde a firme di mining di criptovalute note. Se possibile, il Rilevamento minacce VM determina il processo in esecuzione associato alle corrispondenze delle firme rilevate e include informazioni su quel processo nel rilevamento.

Come funziona il rilevamento dei rootkit in modalità kernel

Il rilevamento delle minacce alla VM deducono il tipo di sistema operativo in esecuzione sulla VM e utilizzano queste informazioni per determinare il codice del kernel, le regioni di dati di sola lettura e altre strutture di dati del kernel in memoria. Il rilevamento delle minacce alla VM applica varie tecniche per determinare se queste regioni sono state manomesse, confrontandole con gli hash precomputati previsti per l'immagine del kernel e verificando l'integrità delle strutture di dati importanti del kernel.

Come funziona il rilevamento del malware

Il rilevamento delle minacce VM acquisisce cloni di breve durata del disco permanente della VM, senza interrompere i carichi di lavoro, e li analizza. Questo servizio analizza i file eseguibili sulla VM per determinare se alcuni file corrispondono a firme di malware note. Il rilevamento generato contiene informazioni sul file e sulle firme del malware rilevate.

Frequenza di scansione

Per la scansione della memoria, VM Threat Detection esegue la scansione di ogni istanza VM immediatamente dopo la sua creazione. Inoltre, VM Threat Detection esegue la scansione di ogni istanza VM ogni 30 minuti.

  • Per il rilevamento del mining di criptovalute, VM Threat Detection genera un rilevamento per processo, per VM e per giorno. Ogni risultato include solo le minacce associate al processo identificato dal risultato. Se Virtual Machine Threat Detection rileva minacce, ma non riesce ad associarle a nessun processo, per ogni VM raggruppa tutte le minacce non associate in un singolo rilevamento che viene emesso una volta ogni 24 ore. Per le minacce che persistono per più di 24 ore, il rilevamento delle minacce VM genera nuovi risultati ogni 24 ore.
  • Per il rilevamento dei rootkit in modalità kernel, che è in anteprima, VM Threat Detection genera un risultato per categoria e per VM ogni tre giorni.

Per la scansione disco permanente, che rileva la presenza di malware noti, VM Threat Detection esamina ogni istanza VM almeno una volta al giorno.

Se attivi il livello Premium di Security Command Center, le scansioni di VM Threat Detection vengono attivate automaticamente. Se necessario, puoi disabilitare e/o abilitare il servizio a livello di progetto. Per ulteriori informazioni, consulta Attivare o disattivare il rilevamento delle minacce alla VM.

Risultati

Questa sezione descrive i risultati relativi alle minacce generati da VM Threat Detection.

VM Threat Detection dispone dei seguenti rilevamenti delle minacce.

Risultati relativi alle minacce legate al mining di criptovalute

VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.

Risultati relativi alle minacce di mining di criptovalute di VM Threat Detection
Categoria Modulo Descrizione
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Confronta gli hash della memoria dei programmi in esecuzione con gli hash della memoria noti del software di mining di criptovalute.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Corrisponde a pattern di memoria, come le costanti proof-of-work, noti per essere utilizzati dal software di mining di criptovalute.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Identifica una minaccia rilevata sia dai moduli CRYPTOMINING_HASH sia da CRYPTOMINING_YARA. Per ulteriori informazioni, vedi Rilevamenti combinati.

Risultati relativi alle minacce di rootkit in modalità kernel

VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di elusione comuni impiegate dai malware.

Il modulo KERNEL_MEMORY_TAMPERING rileva le minacce eseguendo un confronto di hash sul codice del kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.

Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando l'integrità di strutture di dati importanti del kernel.

Risultati relativi alle minacce di rootkit in modalità kernel di VM Threat Detection
Categoria Modulo Descrizione
Rootkit
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
È presente una combinazione di indicatori corrispondenti a un rootkit in modalità kernel noto. Per ricevere i risultati di questa categoria, assicurati che entrambi i moduli siano abilitati.
Manomissione della memoria del kernel
Defense Evasion: Unexpected kernel code modificationAnteprima KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste della memoria del codice del kernel.
Defense Evasion: Unexpected kernel read-only data modificationAnteprima KERNEL_MEMORY_TAMPERING Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel.
Manomissione dell'integrità del kernel
Defense Evasion: Unexpected ftrace handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti punti ftrace con callback che rimandano a regioni non incluse nell'intervallo di codice del kernel o del modulo previsto.
Defense Evasion: Unexpected interrupt handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti gestori di interruzioni che non si trovano nelle regioni del codice del kernel o del modulo previste.
Defense Evasion: Unexpected kernel modulesAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste.
Defense Evasion: Unexpected kprobe handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti punti kprobe con callback che rimandano a regioni non incluse nell'intervallo di codice del kernel o del modulo previsto.
Defense Evasion: Unexpected processes in runqueueAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono nella coda di esecuzione, ma non nell'elenco delle attività di elaborazione.
Defense Evasion: Unexpected system call handlerAnteprima KERNEL_INTEGRITY_TAMPERING Sono presenti gestori chiamate di sistema che non si trovano nelle regioni del codice del kernel o del modulo previste.

Risultati relativi alle minacce di malware

Virtual Machine Threat Detection rileva le seguenti categorie di risultati analizzando il disco permanente di una VM per rilevare malware noti.

Risultati relativi alle minacce malware di VM Threat Detection
Categoria Modulo Descrizione
Malware: Malicious file on disk (YARA) MALWARE_DISK_SCAN_YARA Corrisponde alle firme utilizzate da malware noti.

Limitazioni

VM Threat Detection supporta le istanze VM di Compute Engine con le seguenti limitazioni:

  • Supporto limitato per le VM Windows:

    • Per il rilevamento del mining di criptovalute, VM Threat Detection si concentra principalmente sui binari di Linux e ha una copertura limitata dei miner di criptovalute in esecuzione su Windows.

    • Per il rilevamento dei rootkit in modalità kernel, il Rilevamento minacce VM supporta solo i sistemi operativi Linux.

  • Nessun supporto per le VM Compute Engine che utilizzano Confidential VM. Le istanze Confidential VM utilizzano la crittografia per proteggere i contenuti della memoria quando vengono trasferiti all'interno e all'esterno della CPU. Di conseguenza, VM Threat Detection non può eseguire la scansione.

  • Limitazioni della scansione del disco:

  • VM Threat Detection richiede che l'agente di servizio Security Center sia in grado di elencare le VM nei progetti e clonare i dischi nei progetti di proprietà di Google. Alcune configurazioni di sicurezza e criteri, come i perimetri dei Controlli di servizio VPC e le limitazioni dei criteri dell'organizzazione, possono interferire con queste operazioni. In questo caso, la scansione di VM Threat Detection potrebbe non funzionare.

  • VM Threat Detection si basa sulle funzionalità dell'hypervisor e di Compute Engine di Google Cloud. Di conseguenza, il rilevamento delle minacce VM non può essere eseguito in ambienti on-premise o in altri ambienti cloud pubblico.

Privacy e sicurezza

VM Threat Detection accede ai cloni dei dischi e alla memoria di una VM in esecuzione per analizzarla. Il servizio analizza solo ciò che è necessario per rilevare le minacce.

I contenuti della memoria e dei cloni dei dischi della VM vengono utilizzati come input nella pipeline di analisi del rischio di rilevamento delle minacce VM. I dati vengono criptati in transito e trattati da sistemi automatici. Durante l'elaborazione, i dati sono protetti dai sistemi di controllo della sicurezza di Google Cloud.

A scopo di monitoraggio e debug, VM Threat Detection archivia informazioni di base di diagnostica e statistiche sui progetti protetti dal servizio.

La funzionalità VM Threat Detection analizza i contenuti della memoria VM e i cloni dei dischi nelle rispettive regioni. Tuttavia, i risultati e i metadati risultanti (ad esempio i numeri di progetto e organizzazione) potrebbero essere archiviati al di fuori di queste regioni.

Passaggi successivi