En esta página se ofrece una descripción general de Virtual Machine Threat Detection.
Información general
Virtual Machine Threat Detection es un servicio integrado de Security Command Center. Este servicio analiza las máquinas virtuales para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecutan en entornos de nube vulnerados.
VM Threat Detection forma parte de la suite de detección de amenazas de Security Command Center y se ha diseñado para complementar las funciones de Event Threat Detection y Container Threat Detection.
Los resultados de detección de amenazas de VMs son amenazas de gravedad alta que te recomendamos que corrijas inmediatamente. Puedes ver los resultados de Detección de amenazas de VMs en Security Command Center.
En las organizaciones registradas en Security Command Center Premium, los análisis de Detección de amenazas en VMs se habilitan automáticamente. Si es necesario, puedes inhabilitar o habilitar el servicio a nivel de proyecto. Para obtener más información, consulta Habilitar o inhabilitar la detección de amenazas de MV.
Cómo funciona Detección de amenazas en VMs
Detección de amenazas en VMs es un servicio gestionado que analiza los proyectos y las instancias de máquina virtual (VM) de Compute Engine habilitados para detectar aplicaciones potencialmente maliciosas que se ejecutan en VMs, como software de minería de criptomonedas y rootkits en modo kernel.
En la siguiente figura se muestra una ilustración simplificada de cómo el motor de análisis de Detección de Amenazas en VMs ingiere metadatos de la memoria de invitado de la VM y escribe los resultados en Security Command Center.
La detección de amenazas en VMs está integrada en el hipervisor de Google Cloud, una plataforma segura que crea y gestiona todas las VMs de Compute Engine.
VM Threat Detection realiza periódicamente análisis desde el hipervisor a la memoria de una máquina virtual invitada en ejecución sin pausar el funcionamiento de la máquina invitada. También analiza periódicamente los clones de disco. Como este servicio funciona desde fuera de la instancia de VM invitada, no requiere agentes invitados ni una configuración especial del sistema operativo invitado, y es resistente a las contramedidas que utiliza el malware sofisticado. No se usan ciclos de CPU en la máquina virtual invitada y no se requiere conectividad de red. Los equipos de seguridad no tienen que actualizar firmas ni gestionar el servicio.
Cómo funciona la detección de minería de criptomonedas
Gracias a las reglas de detección de amenazas de Google Cloud, VM Threat Detection analiza la información sobre el software que se ejecuta en las máquinas virtuales, incluida una lista de nombres de aplicaciones, el uso de CPU por proceso, los hashes de las páginas de memoria, los contadores de rendimiento del hardware de la CPU y la información sobre el código de máquina ejecutado para determinar si alguna aplicación coincide con firmas de minería de criptomonedas conocidas. Cuando es posible, Detección de amenazas en VMs determina el proceso en ejecución asociado a las coincidencias de firmas detectadas e incluye información sobre ese proceso en la detección.
Cómo funciona la detección de rootkits en modo kernel
Detección de amenazas en máquinas virtuales deduce el tipo de sistema operativo que se ejecuta en la máquina virtual y usa esa información para determinar el código del kernel, las regiones de datos de solo lectura y otras estructuras de datos del kernel en la memoria. Detección de amenazas en máquinas virtuales aplica varias técnicas para determinar si se han manipulado esas regiones comparándolas con los hashes precalculados que se esperan para la imagen del kernel y verificando la integridad de las estructuras de datos importantes del kernel.
Cómo funciona la detección de malware
Detección de amenazas en VMs crea clones efímeros del disco persistente de tu VM sin interrumpir tus cargas de trabajo y analiza los clones del disco. Este servicio analiza los archivos ejecutables de la VM para determinar si alguno de ellos coincide con firmas de malware conocidas. El resultado generado contiene información sobre el archivo y las firmas de malware detectadas.
Funciones multinube
Fuera de Google Cloud, la detección de malware también está disponible para las máquinas virtuales de Amazon Elastic Compute Cloud (EC2).
Para analizar máquinas virtuales de AWS, debes ser cliente de Security Command Center Enterprise y primero debes habilitar la detección de amenazas en máquinas virtuales de AWS.
Solo puedes habilitar esta función a nivel de organización. Durante el análisis, Detección de amenazas en VMs usa recursos tanto en Google Cloud como en AWS.
Frecuencia de búsqueda
En el caso del análisis de memoria, Virtual Machine Threat Detection analiza cada instancia de VM inmediatamente después de crearla. Además, Virtual Machine Threat Detection analiza cada instancia de máquina virtual cada 30 minutos.
- Para la detección de minería de criptomonedas, VM Threat Detection genera un resultado por proceso, por máquina virtual y por día. Cada resultado incluye solo las amenazas asociadas al proceso que se identifica en el resultado. Si Detección de amenazas en VMs encuentra amenazas, pero no puede asociarlas a ningún proceso, agrupará todas las amenazas no asociadas en un único resultado que generará una vez cada periodo de 24 horas por cada VM. En el caso de las amenazas que persistan durante más de 24 horas, Detección de amenazas de VM genera nuevos resultados cada 24 horas.
- Para detectar rootkits en modo kernel, Detección de amenazas en VMs genera un resultado por categoría y por VM cada tres días.
En el caso del análisis de discos persistentes, que detecta la presencia de malware conocido, Detección de amenazas en máquinas virtuales analiza cada instancia de máquina virtual al menos una vez al día.
Si activas el nivel Premium de Security Command Center, los análisis de Detección de amenazas en VMs se habilitarán automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilitar o inhabilitar la detección de amenazas de MV.
Resultados
En esta sección se describen las detecciones de amenazas que genera Detección de amenazas de máquinas virtuales.
VM Threat Detection incluye las siguientes detecciones de amenazas.
Resultados de amenazas de minería de criptomonedas
VM Threat Detection detecta las siguientes categorías de detecciones mediante la coincidencia de hash o las reglas de YARA.
| Categoría | Módulo | Descripción |
|---|---|---|
|
CRYPTOMINING_HASH
|
Compara los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos de software de minería de criptomonedas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
|
CRYPTOMINING_YARA
|
Coincide con patrones de memoria, como las constantes de prueba de trabajo, que se sabe que utiliza el software de minería de criptomonedas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
|
|
Identifica una amenaza que han detectado los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.
Para obtener más información, consulta
Detecciones combinadas. De forma predeterminada, los resultados se clasifican como de gravedad alta.
|
Resultados de amenazas de rootkit en modo kernel
Detección de amenazas en VMs analiza la integridad del kernel en tiempo de ejecución para detectar las técnicas de evasión habituales que usa el malware.
El módulo KERNEL_MEMORY_TAMPERING
detecta amenazas comparando el hash del código del kernel y de la memoria de datos de solo lectura del kernel de una máquina virtual.
El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas comprobando la integridad de las estructuras de datos importantes del kernel.
| Categoría | Módulo | Descripción |
|---|---|---|
| Rootkit | ||
|
|
Se ha detectado una combinación de señales que coincide con un rootkit conocido en modo kernel. Para recibir resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Alteración de la memoria del kernel | ||
|
KERNEL_MEMORY_TAMPERING
|
Se han detectado modificaciones inesperadas en la memoria de datos de solo lectura del kernel. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Alteración de la integridad del kernel | ||
|
KERNEL_INTEGRITY_TAMPERING
|
Hay ftrace puntos con retrollamadas que apuntan a regiones que no están en el intervalo de código del kernel o del módulo esperado. De forma predeterminada, los resultados se clasifican como de gravedad alta.
|
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de interrupciones que no están en las regiones de código de kernel o de módulo esperadas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
|
KERNEL_INTEGRITY_TAMPERING
|
Hay páginas de código de kernel que no están en las regiones de código de kernel o de módulo esperadas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
|
KERNEL_INTEGRITY_TAMPERING
|
Hay kprobe puntos con retrollamadas que apuntan a regiones que no están en el intervalo de código del kernel o del módulo esperado. De forma predeterminada, los resultados se clasifican como de gravedad alta.
|
|
KERNEL_INTEGRITY_TAMPERING
|
Hay procesos inesperados en la cola de ejecución del programador. Estos procesos están en la cola de ejecución, pero no en la lista de tareas de proceso. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de llamadas de sistema que no están en las regiones de código de módulo o kernel esperadas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
Resultados de amenazas de malware
Detección de amenazas en máquinas virtuales detecta las siguientes categorías de resultados analizando el disco persistente de una máquina virtual en busca de malware conocido.
| Categoría | Módulo | Descripción | Proveedor de servicios en la nube admitido |
|---|---|---|---|
Malware: Malicious file on disk
|
MALWARE_DISK_SCAN_YARA_AWS
|
Analiza los discos persistentes de las VMs de Amazon EC2 y busca coincidencias con las firmas que usa el malware conocido. Las detecciones se clasifican como de gravedad media de forma predeterminada. | AWS |
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Analiza los discos persistentes de las VMs de Compute Engine y busca coincidencias con las firmas que utiliza el malware conocido. Las detecciones se clasifican como de gravedad media de forma predeterminada. | Google Cloud |
Analizar VMs en perímetros de Controles de Servicio de VPC
Para que Detección de amenazas en máquinas virtuales pueda analizar las máquinas virtuales de los perímetros de Controles de Servicio de VPC, debe añadir reglas de entrada y salida en cada perímetro que quiera analizar. Para obtener más información, consulta Permitir que Detección de Amenazas en VMs acceda a los perímetros de Controles de Servicio de VPC.
Limitaciones
Detección de amenazas en VMs admite instancias de VM de Compute Engine, con las siguientes limitaciones:
Compatibilidad limitada con máquinas virtuales Windows:
Para la detección de minería de criptomonedas, VM Threat Detection se centra principalmente en los archivos binarios de Linux y tiene una cobertura limitada de los mineros de criptomonedas que se ejecutan en Windows.
Para la detección de rootkits en modo kernel, VM Threat Detection solo admite sistemas operativos Linux.
No se admiten las VMs de Compute Engine que usen VM confidenciales. Las instancias de máquina virtual confidencial usan criptografía para proteger el contenido de la memoria cuando entra y sale de la CPU. Por lo tanto, VM Threat Detection no puede analizarlos.
Limitaciones del análisis de disco:
No se admiten los discos persistentes cifrados con claves de cifrado proporcionadas por el cliente (CSEK) ni con claves de cifrado gestionadas por el cliente (CMEK).
Solo se analizan las particiones
vfat,ext2yext4.
Para usar Detección de amenazas en VMs, es necesario que el agente del servicio Security Center pueda enumerar las VMs de los proyectos y clonar los discos en proyectos propiedad de Google. Algunas restricciones de la política de la organización, como
constraints/compute.storageResourceUseRestrictions, pueden interferir en estas operaciones. En este caso, es posible que el análisis de detección de amenazas de MV no funcione.Detección de amenazas en VMs se basa en las funciones del hipervisor de Google Cloudy de Compute Engine. Por lo tanto, Detección de amenazas en máquinas virtuales no se puede ejecutar en entornos on-premise ni en otros entornos de nube pública.
Privacidad y seguridad
Detección de amenazas en VMs accede a los clones de disco y a la memoria de una VM en ejecución para realizar análisis. El servicio solo analiza lo necesario para detectar amenazas.
El contenido de la memoria y los clones de disco de la VM se usan como entradas en la canalización de análisis de riesgos de Detección de amenazas de VMs. Los datos se cifran en tránsito y se procesan mediante sistemas automatizados. Durante el procesamiento, los datos están protegidos por los sistemas de control de seguridad deGoogle Cloud.
Para monitorizar y depurar, Detección de amenazas en máquinas virtuales almacena información básica de diagnóstico y estadística sobre los proyectos que protege el servicio.
VM Threat Detection analiza el contenido de la memoria de las VMs y los clones de disco en sus regiones respectivas. Sin embargo, los resultados y los metadatos (como los números de proyecto y de organización) pueden almacenarse fuera de esas regiones.
Para obtener más información sobre cómo gestiona Security Command Center tus datos, consulta el resumen de la seguridad de los datos y la infraestructura.
Siguientes pasos
- Consulta cómo usar Virtual Machine Threat Detection.
- Consulta cómo habilitar VM Threat Detection en AWS.
- Consulta cómo permitir que Detección de amenazas de VMs analice las VMs en perímetros de Controles de Servicio de VPC.
- Consulta cómo inspeccionar una VM para detectar signos de manipulación de la memoria del kernel.
- Consulta cómo responder a las detecciones de amenazas de Compute Engine.
- Consulta el índice de hallazgos de amenazas.