Ringkasan Virtual Machine Threat Detection

Halaman ini menyediakan ringkasan tentang Deteksi Ancaman Mesin Virtual.

Ringkasan

Virtual Machine Threat Detection, layanan bawaan Security Command Center Premium, menyediakan deteksi ancaman melalui instrumentasi level hypervisor dan analisis persistent disk. VM Threat Detection mendeteksi aplikasi yang berpotensi membahayakan, seperti software penambangan mata uang kripto, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.

VM Threat Detection adalah bagian dari rangkaian deteksi ancaman Security Command Center Premium dan dirancang untuk melengkapi kemampuan Event Threat Detection dan Container Threat Detection yang sudah ada.

Temuan Deteksi Ancaman VM adalah ancaman dengan tingkat keparahan tinggi dan sebaiknya segera diperbaiki. Anda dapat melihat temuan Deteksi Ancaman VM di Security Command Center.

Untuk organisasi yang terdaftar di Security Command Center Premium, pemindaian Deteksi Ancaman VM diaktifkan secara otomatis. Jika perlu, Anda dapat menonaktifkan layanan dan/atau mengaktifkan layanan di level project. Untuk mengetahui informasi lebih lanjut, baca bagian Mengaktifkan atau menonaktifkan Deteksi Ancaman VM.

Cara kerja Deteksi Ancaman VM

VM Threat Detection adalah layanan terkelola yang memindai project Compute Engine dan instance virtual machine (VM) yang diaktifkan untuk mendeteksi aplikasi berpotensi berbahaya yang berjalan di VM, seperti software penambangan mata uang kripto dan rootkit mode kernel.

Gambar berikut adalah ilustrasi sederhana yang menunjukkan cara mesin analisis VM Threat Detection menyerap metadata dari memori tamu VM dan menulis temuan ke Security Command Center.

Jalur data yang disederhanakan untuk Virtual Machine Threat Detection
Jalur data yang disederhanakan untuk Deteksi Ancaman Mesin Virtual

VM Threat Detection dibangun ke dalam hypervisor Google Cloud, sebuah platform aman yang membuat dan mengelola semua VM Compute Engine.

VM Threat Detection secara berkala melakukan pemindaian dari hypervisor ke dalam memori VM tamu yang sedang berjalan tanpa menjeda operasi tamu. Alat ini juga memindai clone disk secara berkala. Karena beroperasi dari luar instance VM tamu, layanan ini tidak memerlukan agen tamu atau konfigurasi khusus sistem operasi tamu, dan tahan terhadap tindakan penanggulangan yang digunakan oleh malware canggih. Tidak ada siklus CPU yang digunakan di dalam VM tamu, dan konektivitas jaringan tidak diperlukan. Tim keamanan tidak perlu memperbarui tanda tangan atau mengelola layanan.

Cara kerja deteksi penambangan mata uang kripto

Dengan teknologi aturan deteksi ancaman Google Cloud, VM Threat Detection menganalisis informasi tentang software yang berjalan di VM, termasuk daftar nama aplikasi, penggunaan CPU per proses, hash halaman memori, penghitung performa hardware CPU, dan informasi tentang kode mesin yang dieksekusi untuk menentukan apakah aplikasi ada yang cocok dengan tanda tangan penambangan mata uang kripto yang diketahui. Jika memungkinkan, VM Threat Detection akan menentukan proses yang sedang berjalan terkait dengan kecocokan tanda tangan yang terdeteksi, dan menyertakan informasi tentang proses tersebut dalam temuan.

Cara kerja deteksi rootkit mode kernel

VM Threat Detection menyimpulkan jenis sistem operasi yang berjalan pada VM dan menggunakan informasi tersebut untuk menentukan kode kernel, region data hanya baca, dan struktur data kernel lainnya dalam memori. VM Threat Detection menerapkan berbagai teknik untuk menentukan apakah region tersebut telah dimodifikasi atau tidak, dengan membandingkannya dengan hash yang sudah dikomputasi sebelumnya yang diharapkan untuk image kernel dan memverifikasi integritas struktur data kernel yang penting.

Cara kerja deteksi malware

VM Threat Detection mengambil clone jangka pendek dari persistent disk VM Anda, tanpa mengganggu beban kerja Anda, dan memindai clone disk. Layanan ini menganalisis file yang dapat dieksekusi di VM untuk menentukan apakah ada file yang cocok dengan tanda tangan malware yang dikenal. Temuan yang dihasilkan berisi informasi tentang file dan tanda tangan malware yang terdeteksi.

Frekuensi pemindaian

Untuk pemindaian memori, VM Threat Detection memindai setiap instance VM segera setelah instance dibuat. Selain itu, VM Threat Detection memindai setiap instance VM setiap 30 menit.

  • Untuk deteksi penambangan mata uang kripto, VM Threat Detection menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya mencakup ancaman yang terkait dengan proses yang diidentifikasi oleh temuan tersebut. Jika VM Threat Detection menemukan ancaman, tetapi tidak dapat mengaitkannya dengan proses apa pun, maka, untuk setiap VM, Deteksi Ancaman VM mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang muncul sekali per periode 24 jam. Untuk ancaman yang bertahan lebih dari 24 jam, Deteksi Ancaman VM menghasilkan temuan baru setiap 24 jam sekali.
  • Untuk deteksi rootkit mode kernel, yang ada di Pratinjau, Deteksi Ancaman VM menghasilkan satu temuan per kategori, per VM, setiap tiga hari.

Untuk pemindaian persistent disk, yang mendeteksi keberadaan malware yang diketahui, VM Threat Detection akan memindai setiap instance VM setidaknya setiap hari.

Jika Anda mengaktifkan paket Premium Security Command Center, pemindaian Deteksi Ancaman VM akan diaktifkan secara otomatis. Jika perlu, Anda dapat menonaktifkan layanan dan/atau mengaktifkan layanan di level project. Untuk mengetahui informasi lebih lanjut, baca bagian Mengaktifkan atau menonaktifkan Deteksi Ancaman VM.

Temuan

Bagian ini menjelaskan temuan ancaman dan observasi yang dihasilkan Deteksi Ancaman VM.

Penemuan ancaman

VM Threat Detection memiliki deteksi ancaman berikut.

Temuan ancaman penambangan mata uang kripto

VM Threat Detection mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.

Temuan ancaman penambangan mata uang kripto Deteksi Ancaman VM
Kategori Modul Deskripsi
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Mencocokkan hash memori dari program yang berjalan dengan hash memori yang diketahui dari software penambang mata uang kripto.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Mencocokkan pola memori, seperti konstanta bukti kerja, yang diketahui digunakan oleh software penambang mata uang kripto.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Mengidentifikasi ancaman yang terdeteksi oleh modul CRYPTOMINING_HASH dan CRYPTOMINING_YARA. Untuk informasi selengkapnya, lihat Deteksi gabungan.

Temuan ancaman rootkit mode kernel

VM Threat Detection menganalisis integritas kernel pada saat runtime untuk mendeteksi teknik pengelakan yang umum digunakan oleh malware.

Modul KERNEL_MEMORY_TAMPERING mendeteksi ancaman dengan melakukan perbandingan hash pada kode kernel dan memori data hanya baca kernel pada virtual machine.

Modul KERNEL_INTEGRITY_TAMPERING mendeteksi ancaman dengan memeriksa integritas struktur data kernel yang penting.

Temuan ancaman rootkit mode kernel Deteksi Ancaman VM
Kategori Modul Deskripsi
Gangguan memori kernel
Defense Evasion: Unexpected kernel code modificationPratinjau KERNEL_MEMORY_TAMPERING Terdapat modifikasi yang tidak terduga pada memori kode kernel.
Defense Evasion: Unexpected kernel read-only data modificationPratinjau KERNEL_MEMORY_TAMPERING Terdapat modifikasi yang tidak terduga pada memori data hanya baca kernel.
Gangguan integritas kernel
Defense Evasion: Unexpected ftrace handlerPratinjau KERNEL_INTEGRITY_TAMPERING Titik ftrace muncul dengan callback yang menunjuk ke region yang tidak berada dalam rentang kode modul atau kernel yang diharapkan.
Defense Evasion: Unexpected interrupt handlerPratinjau KERNEL_INTEGRITY_TAMPERING Mengganggu pengendali yang tidak ada dalam region kode modul atau kernel yang diharapkan.
Defense Evasion: Unexpected kernel modulesPratinjau KERNEL_INTEGRITY_TAMPERING Terdapat halaman kode kernel yang tidak berada dalam region kode modul atau kernel yang diharapkan.
Defense Evasion: Unexpected kprobe handlerPratinjau KERNEL_INTEGRITY_TAMPERING Titik kprobe muncul dengan callback yang menunjuk ke region yang tidak berada dalam rentang kode modul atau kernel yang diharapkan.
Defense Evasion: Unexpected processes in runqueuePratinjau KERNEL_INTEGRITY_TAMPERING Terdapat proses yang tidak terduga dalam antrean eksekusi penjadwal. Proses tersebut berada dalam antrean run, tetapi tidak dalam daftar tugas proses.
Defense Evasion: Unexpected system call handlerPratinjau KERNEL_INTEGRITY_TAMPERING Ada pengendali panggilan sistem yang tidak ada dalam region kode modul atau kernel yang diharapkan.
{i>Rootkit<i}
Defense Evasion: RootkitPratinjau
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Terdapat kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan.

Temuan ancaman malware

VM Threat Detection mendeteksi kategori temuan berikut dengan memindai persistent disk VM untuk mendeteksi malware yang diketahui.

Temuan ancaman malware Deteksi Ancaman VM
Kategori Modul Deskripsi
Malware: Malicious file on disk (YARA) MALWARE_DISK_SCAN_YARA Mencocokkan tanda tangan yang digunakan oleh {i>malware<i} yang dikenal.

Temuan observasi

VM Threat Detection menghasilkan temuan observasi berikut:

Temuan pengamatan Deteksi Ancaman VM
Nama kategori Nama API Ringkasan Keseriusan
VMTD disabled VMTD_DISABLED

VM Threat Detection dinonaktifkan. Sebelum Anda enable, layanan ini tidak dapat memindai project Compute Engine dan instance VM Anda untuk menemukan aplikasi yang tidak diinginkan.

Temuan ini ditetapkan ke INACTIVE setelah 30 hari. Setelah itu, temuan ini tidak akan dihasilkan lagi.

Tinggi

Batasan

VM Threat Detection mendukung instance VM Compute Engine, dengan batasan berikut:

  • Dukungan terbatas untuk VM Windows:

    • Untuk deteksi penambangan mata uang kripto, VM Threat Detection terutama berfokus pada biner Linux dan memiliki cakupan terbatas untuk penambang mata uang kripto yang berjalan di Windows.

    • Untuk deteksi rootkit mode kernel, yang ada di Pratinjau, Deteksi Ancaman VM hanya mendukung sistem operasi Linux.

  • Tidak ada dukungan untuk VM Compute Engine yang menggunakan Confidential VM. Instance Confidential VM menggunakan kriptografi untuk melindungi konten memori saat bergerak masuk dan keluar dari CPU. Dengan demikian, VM Threat Detection tidak dapat memindainya.

  • Batasan pemindaian disk:

  • VM Threat Detection mengharuskan Agen Layanan Pusat Keamanan dapat mencantumkan VM dalam project dan meng-clone disk ke project milik Google. Beberapa konfigurasi keamanan dan kebijakan, seperti perimeter Kontrol Layanan VPC dan batasan kebijakan organisasi, dapat mengganggu operasi tersebut. Dalam hal ini, pemindaian VM Threat Detection mungkin tidak berfungsi.

  • VM Threat Detection bergantung pada kemampuan hypervisor dan Compute Engine Google Cloud. Dengan demikian, VM Threat Detection tidak dapat berjalan di lingkungan lokal atau di lingkungan cloud publik lainnya.

Privasi dan keamanan

VM Threat Detection mengakses clone disk dan memori VM yang sedang berjalan untuk dianalisis. Layanan hanya menganalisis hal yang diperlukan untuk mendeteksi ancaman.

Konten memori VM dan clone disk digunakan sebagai input di pipeline analisis risiko Deteksi Ancaman VM. Data dienkripsi saat dalam pengiriman dan diproses oleh sistem otomatis. Selama pemrosesan, data dilindungi oleh sistem kontrol keamanan Google Cloud.

Untuk tujuan pemantauan dan proses debug, VM Threat Detection menyimpan informasi diagnostik dan statistik dasar tentang project yang dilindungi oleh layanan.

VM Threat Detection memindai konten memori VM dan clone disk di regionnya masing-masing. Namun, temuan dan metadata yang dihasilkan (seperti nomor project dan organisasi) mungkin disimpan di luar region tersebut.

Langkah selanjutnya