Présentation de Virtual Machine Threat Detection

Cette page présente Virtual Machine Threat Detection.

Présentation

Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, permet de détecter les menaces via une instrumentation de niveau hyperviseur et une analyse des disques persistants. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Les résultats de VM Threat Detection sont des menaces sévères que nous vous recommandons de corriger immédiatement. Vous pouvez afficher les résultats de VM Threat Detection dans Security Command Center.

Pour les organisations inscrites à Security Command Center Premium, les analyses de VM Threat Detection sont automatiquement activées. Si nécessaire, vous pouvez désactiver le service et/ou l'activer au niveau du projet. Pour en savoir plus, consultez l'article Activer ou désactiver VM Threat Detection.

Fonctionnement de VM Threat Detection

VM Threat Detection est un service géré qui analyse les projets et les instances de machine virtuelle (VM) Compute Engine activés afin de détecter les applications potentiellement malveillantes qui s'exécutent sur les VM, telles que les logiciels de minage de cryptomonnaie et les rootkits en mode noyau.

La figure suivante est une illustration simplifiée de la manière dont le moteur d'analyse de VM Threat Detection ingère des métadonnées à partir de la mémoire de la VM invitée et écrit les résultats dans Security Command Center.

Chemin d'accès simplifié aux données de Virtual Machine Threat Detection

VM Threat Detection est intégré à l'hyperviseur de Google Cloud, une plate-forme sécurisée qui crée et gère toutes les VM Compute Engine.

VM Threat Detection effectue régulièrement des analyses depuis l'hyperviseur vers la mémoire d'une VM invitée en cours d'exécution, sans suspendre le fonctionnement de l'invité. Il analyse également régulièrement les clones de disque. Étant donné que ce service fonctionne en dehors de l'instance de VM invitée, il ne nécessite pas d'agents invités ni de configuration particulière du système d'exploitation invité. De plus, il résiste aux contre-mesures utilisées par les logiciels malveillants sophistiqués. Aucun cycle de processeur n'est utilisé dans la VM invitée, et la connectivité réseau n'est pas requise. Les équipes de sécurité n'ont pas besoin de mettre à jour les signatures ni de gérer le service.

Fonctionnement de la détection du minage de cryptomonnaie

Basé sur les règles de détection des menaces de Google Cloud, VM Threat Detection analyse les informations relatives aux logiciels exécutés sur les VM, y compris une liste de noms d'applications, l'utilisation du processeur par processus, les hachages de pages de mémoire, les compteurs de performances matérielles du processeur et des informations sur le code machine exécuté afin de déterminer si une application correspond à des signatures de minage de cryptomonnaie connues. Dans la mesure du possible, VM Threat Detection détermine le processus en cours associé aux correspondances de signature détectées et inclut des informations sur ce processus dans le résultat.

Fonctionnement de la détection du rootkit en mode noyau

VM Threat Detection déduit le type de système d'exploitation exécuté sur la VM et utilise ces informations pour déterminer le code du noyau, les régions de données en lecture seule et les autres structures de données du noyau en mémoire. VM Threat Detection applique diverses techniques pour déterminer si ces régions sont altérées, en les comparant aux hachages précalculés attendus pour l'image du noyau et en vérifiant l'intégrité des structures de données importantes du noyau.

Fonctionnement de la détection des logiciels malveillants

VM Threat Detection prend des clones de courte durée du disque persistant de votre VM, sans interrompre vos charges de travail, et analyse les clones de disque. Ce service analyse les fichiers exécutables de la VM pour déterminer si certains d'entre eux correspondent à des signatures de logiciels malveillants connus. Le résultat généré contient des informations sur le fichier et les signatures de logiciel malveillant détectées.

Fréquence d'analyse

Pour l'analyse de la mémoire, VM Threat Detection analyse chaque instance de VM dès sa création. De plus, VM Threat Detection analyse chaque instance de VM toutes les 30 minutes.

Pour la détection du minage de cryptomonnaie, VM Threat Detection génère un résultat par processus, par VM et par jour. Chaque résultat n'inclut que les menaces associées au processus identifié par le résultat. Si VM Threat Detection détecte les menaces, mais ne peut les associer à aucun processus, il regroupe pour chaque VM toutes kes menaces non associées dans un seul résultat qu'il émet une fois toutes les 24 heures. Pour les menaces qui durent plus de 24 heures, VM Threat Detection génère les nouveaux résultats toutes les 24 heures.
Pour la détection du rootkit en mode noyau, qui est en version preview, VM Threat Detection génère un résultat par catégorie et par VM, tous les trois jours.

Pour l'analyse des disques persistants, qui détecte la présence de logiciels malveillants connus, VM Threat Detection analyse chaque instance de VM au moins une fois par jour.

Si vous activez le niveau Premium de Security Command Center, les analyses de VM Threat Detection sont automatiquement activées. Si nécessaire, vous pouvez désactiver le service et/ou l'activer au niveau du projet. Pour en savoir plus, consultez l'article Activer ou désactiver VM Threat Detection.

Résultats

Cette section décrit les résultats des observations et des menaces générés par VM Threat Detection.

Menaces constatées

VM Threat Detection détecte les menaces suivantes.

Identification de menaces liées au minage de cryptomonnaie

VM Threat Detection détecte les catégories de résultats suivantes via la correspondance de hachage ou les règles YARA.

Résultats des menaces liées au minage de cryptomonnaie par VM Threat Detection
Catégorie	Module	Description
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifie une menace qui a été détectée par les modules `CRYPTOMINING_HASH` et `CRYPTOMINING_YARA`. Pour en savoir plus, consultez la section Détections combinées.

Résultats de menaces liés au rootkit en mode noyau

VM Threat Detection analyse l'intégrité du noyau au moment de l'exécution pour détecter les techniques de contournement courantes utilisées par les logiciels malveillants.

Le module KERNEL_MEMORY_TAMPERING détecte les menaces en comparant le hachage du code du noyau et de la mémoire de données du noyau en lecture seule d'une machine virtuelle.

Le module KERNEL_INTEGRITY_TAMPERING détecte les menaces en vérifiant l'intégrité des structures de données importantes du noyau.

Résultats des menaces liées au rootkit en mode noyau de VM Threat Detection
Catégorie	Module	Description
Altération de la mémoire du noyau
`Defense Evasion: Unexpected kernel code modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire de code du noyau sont présentes.
`Defense Evasion: Unexpected kernel read-only data modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Altération de l'intégrité du noyau
`Defense Evasion: Unexpected ftrace handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des points `ftrace` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected interrupt handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Interrompre les gestionnaires qui ne se trouvent pas dans le noyau ou dans les régions de code de module attendus sont présents.
`Defense Evasion: Unexpected kernel modules`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des pages de code de noyau qui ne se trouvent pas dans les régions de code de module ou de noyau attendues sont présentes.
`Defense Evasion: Unexpected kprobe handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des points `kprobe` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected processes in runqueue`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des processus inattendus sont présents dans la file d'attente d'exécution du programmeur. Ces processus se trouvent dans la file d'attente d'exécution, mais pas dans la liste des tâches.
`Defense Evasion: Unexpected system call handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des gestionnaires d'appels système qui ne se trouvent pas dans les régions de code de module ou de noyau attendues sont présents.
rootkit
`Defense Evasion: Rootkit`^Aperçu	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Une combinaison de signaux correspondant à un rootkit en mode noyau connu est présente. Pour recevoir les résultats de cette catégorie, assurez-vous que les deux modules sont activés.

Menaces détectées par des logiciels malveillants

VM Threat Detection détecte les catégories de résultats suivantes en analysant le disque persistant d'une VM à la recherche de logiciels malveillants connus.

Résultats des menaces de logiciels malveillants dans VM Threat Detection
Catégorie	Module	Description
`Malware: Malicious file on disk (YARA)`	`MALWARE_DISK_SCAN_YARA`	Établit une correspondance avec les signatures utilisées par les logiciels malveillants connus.

Observation

VM Threat Detection génère le résultat d'observation suivant :

Résultat d'observation de VM Threat Detection
Nom de la catégorie	Nom de l'API	Résumé	Niveau de gravité
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection est désactivée. Tant que vous n'avez pas enable ce service, il ne peut pas analyser vos projets Compute Engine et vos instances de VM pour rechercher des applications indésirables. Ce résultat est défini sur `INACTIVE` après 30 jours. Après cela, ce résultat n'est plus généré.	Élevée

Limites

VM Threat Detection est compatible avec les instances de VM Compute Engine, avec les limitations suivantes :

Compatibilité limitée pour les VM Windows:
- Pour la détection du minage de cryptomonnaie, VM Threat Detection se concentre principalement sur les binaires Linux et a une couverture limitée des mineurs de cryptomonnaies qui s'exécutent sous Windows.
- Pour la détection du rootkit en mode noyau, qui est en version preview, VM Threat Detection n'est compatible qu'avec les systèmes d'exploitation Linux.
Aucune compatibilité pour les VM Compute Engine qui utilisent Confidential VM. Les instances Confidential VM utilisent la cryptographie pour protéger le contenu de la mémoire lors des transferts vers et hors du processeur. Ainsi, VM Threat Detection ne peut pas les analyser.
Limites de l'analyse de disque:
- Les disques persistants chiffrés avec des clés de chiffrement fournies par le client ne sont pas acceptés.
- Pour cette version preview, un seul disque par VM est analysé. Seules les partitions vfat, ext2 et ext4 sont analysées.
VM Threat Detection nécessite que l'agent de service du centre de sécurité puisse répertorier les VM des projets et cloner les disques dans les projets appartenant à Google. Certaines configurations de sécurité et de règles, telles que les périmètres VPC Service Controls et les contraintes liées aux règles d'administration, peuvent interférer avec de telles opérations. Dans ce cas, l'analyse VM Threat Detection peut ne pas fonctionner.
VM Threat Detection s'appuie sur les fonctionnalités de l'hyperviseur Google Cloud et de Compute Engine. Ainsi, VM Threat Detection ne peut pas s'exécuter dans des environnements sur site ou dans d'autres environnements de cloud public.

Confidentialité et sécurité

VM Threat Detection accède aux clones de disque et à la mémoire d'une VM en cours d'exécution à des fins d'analyse. Le service analyse uniquement ce qui est nécessaire pour détecter les menaces.

Le contenu de la mémoire de la VM et des clones de disque est utilisé en tant qu'entrée dans le pipeline d'analyse des risques de VM Threat Detection. Les données sont chiffrées en transit et traitées par des systèmes automatisés. Pendant leur traitement, les données sont protégées par les systèmes de contrôle de la sécurité de Google Cloud.

À des fins de surveillance et de débogage, VM Threat Detection stocke des informations de diagnostic et statistiques de base concernant les projets protégés par le service.

VM Threat Detection analyse le contenu de la mémoire des VM et les clones de disque dans leurs régions respectives. Toutefois, les résultats et les métadonnées obtenus (tels que les numéros de projet et d'organisation) peuvent être stockés en dehors de ces régions.

Étapes suivantes

Découvrez comment utiliser VM Threat Detection.
Découvrez comment examiner les résultats de VM Threat Detection.