Auf dieser Seite erhalten Sie eine Übersicht über Virtual Machine Threat Detection.
Überblick
Virtual Machine Threat Detection, ein integrierter Dienst von Security Command Center Premium, bietet Bedrohungserkennung über Instrumentierung auf Hypervisor-Ebene und die Analyse nichtflüchtiger Speicher. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Mining-Software für Kryptowährungen, Rootkits im Kernelmodus und Malware, die in manipulierten Cloud-Umgebungen ausgeführt wird.
VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
VM Threat Detection-Ergebnisse stellen Bedrohungen mit hohem Schweregrad dar, die Sie sofort beheben müssen. VM Threat Detection-Ergebnisse können im Security Command Center abgerufen werden.
Für Organisationen, die für das Security Command Center Premium registriert sind, werden VM-Bedrohungserkennungsscans automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren und/oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.
Funktionsweise von VM Threat Detection
VM Threat Detection ist ein verwalteter Dienst, der aktivierte Compute Engine-Projekte und VM-Instanzen auf potenziell schädliche Anwendungen wie Kryptomining-Software und Rootkits im Kernelmodus scannt, die auf VMs ausgeführt werden.
Folgende vereinfachte Abbildung zeigt, wie das Analysemodul von VM Threat Detection Metadaten aus dem VM-Gastspeicher aufnimmt und Ergebnisse in Security Command Center schreibt.
Die VM Threat Detection ist in den Hypervisor von Google Cloud eingebunden, eine sichere Plattform, die alle Compute Engine-VMs erstellt und verwaltet.
VM Threat Detection führt regelmäßig Scans vom Hypervisor in den Arbeitsspeicher einer laufenden Gast-VM durch, ohne den Gastbetrieb zu unterbrechen. Außerdem werden Laufwerkklone regelmäßig gescannt. Da dieser Dienst von außerhalb der Gast-VM-Instanz ausgeführt wird, sind keine Gast-Agents oder eine spezielle Konfiguration des Gastbetriebssystems erforderlich. Außerdem ist er widerstandsfähig gegen Gegenmaßnahmen von ausgeklügelter Malware. Innerhalb der Gast-VM werden keine CPU-Zyklen verwendet und es ist keine Netzwerkverbindung erforderlich. Sicherheitsteams müssen weder Signaturen aktualisieren noch den Dienst verwalten.
So funktioniert die Erkennung von Cryptomining
VM Threat Detection analysiert auf Grundlage der Bedrohungserkennungsregeln von Google Cloud Informationen zu Software, die auf VMs ausgeführt wird, einschließlich einer Liste von Anwendungsnamen, CPU-Nutzung pro Prozess, Hashes von Arbeitsspeicherseiten, CPU-Hardware-Leistungszählern und Informationen zum ausgeführten Maschinencode, um festzustellen, ob eine Anwendung mit bekannten Krypto-Mining-Signaturen übereinstimmt. Wenn möglich, ermittelt VM Threat Detection dann den laufenden Prozess, der mit den erkannten Signaturen übereinstimmt, und fügt Informationen zu diesem Prozess im Ergebnis hinzu.
Funktionsweise der Rootkit-Erkennung im Kernelmodus
VM Threat Detection leitet den Typ des Betriebssystems ab, das auf der VM ausgeführt wird, und ermittelt anhand dieser Informationen den Kernel-Code, schreibgeschützte Datenregionen und andere Kernel-Datenstrukturen im Arbeitsspeicher. VM Threat Detection wendet verschiedene Techniken an, um festzustellen, ob diese Regionen manipuliert wurden. Dazu werden sie mit vorab berechneten Hashes verglichen, die für das Kernel-Image erwartet werden, und die Integrität wichtiger Kernel-Datenstrukturen überprüft.
Funktionsweise der Malware-Erkennung
VM Threat Detection scannt kurzlebige Klone des nichtflüchtigen Speichers Ihrer VM, ohne Ihre Arbeitslasten zu unterbrechen, und scannt die Laufwerkklone. Dieser Dienst analysiert ausführbare Dateien auf der VM, um festzustellen, ob Dateien mit bekannten Malware-Signaturen übereinstimmen. Das generierte Ergebnis enthält Informationen zur Datei und zu den erkannten Malware-Signaturen.
Suchlaufhäufigkeit
Für den Speicherscan scannt VM Threat Detection jede VM-Instanz sofort nach ihrer Erstellung. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Zur Erkennung von Krypto-Mining generiert VM Threat Detection ein Ergebnis pro Prozess, VM und Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verbunden sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie jedoch keinem Prozess zuordnen kann, fasst VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in einem einzigen Ergebnis zusammen, das jeweils einmal innerhalb eines Zeitraums von 24 Stunden ausgeführt wird. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Für die Rootkit-Erkennung im Kernelmodus, die sich in der Vorabversion befindet, generiert VM Threat Detection alle drei Tage ein Ergebnis pro Kategorie, pro VM.
Zum Scannen nichtflüchtiger Speicher, mit dem bekannte Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens einmal täglich.
Wenn Sie die Premium-Stufe von Security Command Center aktivieren, werden VM Threat Detection-Scans automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren und/oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.
Ergebnisse
In diesem Abschnitt werden die von VM Threat Detection generierten Ergebnisse zu Bedrohungen und Beobachtungen beschrieben.
Gefundene Bedrohungen
VM Threat Detection bietet die folgenden Bedrohungserkennungen.
Bedrohungsergebnisse beim Kryptomining
VM Threat Detection erkennt die folgenden Ergebniskategorien über Hash-Matching- oder YARA-Regeln.
| Kategorie | Modul | Beschreibung |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Kennzeichnet eine Bedrohung, die sowohl vom Modul CRYPTOMINING_HASH als auch vom Modul CRYPTOMINING_YARA erkannt wurde.
Weitere Informationen finden Sie unter
Kombinierte Erkennungen.
|
Bedrohungsergebnisse im Kernelmodus des Rootkits
VM Threat Detection analysiert die Kernel-Integrität zur Laufzeit, um gängige Umgehungstechniken zu erkennen, die von Malware verwendet werden.
Das Modul KERNEL_MEMORY_TAMPERING erkennt Bedrohungen durch einen Hash-Vergleich des Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine.
Das Modul KERNEL_INTEGRITY_TAMPERING erkennt Bedrohungen, indem es die Integrität wichtiger Kernel-Datenstrukturen überprüft.
| Kategorie | Modul | Beschreibung |
|---|---|---|
| Manipulation des Kernel-Arbeitsspeichers | ||
Defense Evasion: Unexpected kernel code modificationVorschau
|
KERNEL_MEMORY_TAMPERING
|
Unerwartete Änderungen am Kernel-Codespeicher sind vorhanden. |
Defense Evasion: Unexpected kernel read-only data modificationVorschau
|
KERNEL_MEMORY_TAMPERING
|
Unerwartete Änderungen am schreibgeschützten Kernel-Datenspeicher sind vorhanden. |
| Manipulation der Kernel-Integrität | ||
Defense Evasion: Unexpected ftrace handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace-Punkte weisen Callbacks auf, die auf Regionen verweisen, die sich nicht im erwarteten Kernel- oder Modulcodebereich befinden.
|
Defense Evasion: Unexpected interrupt handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Unterbrechende Handler, die nicht in den erwarteten Kernel- oder Modulcoderegionen enthalten sind, sind vorhanden. |
Defense Evasion: Unexpected kernel modulesVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcode-Regionen befinden. |
Defense Evasion: Unexpected kprobe handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe-Punkte weisen Callbacks auf, die auf Regionen verweisen, die sich nicht im erwarteten Kernel- oder Modulcodebereich befinden.
|
Defense Evasion: Unexpected processes in runqueueVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
In der Ausführungswarteschlange des Planers sind unerwartete Prozesse vorhanden. Solche Prozesse befinden sich in der Ausführungswarteschlange, aber nicht in der Aufgabenliste des Prozesses. |
Defense Evasion: Unexpected system call handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Systemaufruf-Handler, die nicht in den erwarteten Kernel- oder Modulcoderegionen enthalten sind, sind vorhanden. |
| Rootkit | ||
Defense Evasion: RootkitVorschau
|
|
Es ist eine Kombination aus Signalen vorhanden, die mit einem bekannten Rootkit im Kernelmodus übereinstimmen. Damit Ergebnisse aus dieser Kategorie empfangen werden, müssen beide Module aktiviert sein. |
Ergebnisse zu Malware-Bedrohungen
VM Threat Detection erkennt die folgenden Ergebniskategorien, indem der nichtflüchtige Speicher einer VM auf bekannte Malware gescannt wird.
| Kategorie | Modul | Beschreibung |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Gleicht Signaturen ab, die von bekannter Malware verwendet werden. |
Beobachtungsergebnis
VM Threat Detection generiert das folgende Beobachtungsergebnis:
| Kategoriename | API-Name | Fazit | Schweregrad |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
VM Threat Detection ist deaktiviert. Bevor dieser Dienst enable wird, kann er Ihre Compute Engine-Projekte und VM-Instanzen nicht auf unerwünschte Anwendungen scannen.
Dieses Ergebnis wird nach 30 Tagen auf |
Hoch |
Beschränkungen
VM Threat Detection unterstützt Compute Engine-VM-Instanzen mit den folgenden Einschränkungen:
Eingeschränkte Unterstützung für Windows-VMs:
VM Threat Detection konzentriert sich bei der Erkennung von Krypto-Mining hauptsächlich auf Linux-Binärprogramme und bietet eine begrenzte Abdeckung von Kryptominingen, die unter Windows ausgeführt werden.
Bei der Rootkit-Erkennung im Kernelmodus, die sich in der Vorabversion befindet, unterstützt VM Threat Detection nur Linux-Betriebssysteme.
Keine Unterstützung für Compute Engine-VMs, die Confidential VM verwenden. Confidential VM-Instanzen verwenden Kryptografie, um den Inhalt des Speichers zu schützen, wenn er in und aus der CPU verschoben wird. Daher kann VM Threat Detection sie nicht scannen.
Einschränkungen beim Scannen von Laufwerken:
Nichtflüchtige Speicher, die mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsselt sind, werden nicht unterstützt.
In dieser Vorabversion wird nur ein Laufwerk pro VM gescannt. Es werden nur
vfat-,ext2- undext4-Partitionen gescannt.
Für VM Threat Detection muss der Security Center Service Agent die VMs in den Projekten auflisten und die Laufwerke in Projekte von Google klonen können. Einige Sicherheits- und Richtlinienkonfigurationen wie VPC Service Controls-Perimeter und Einschränkungen für Organisationsrichtlinien können solche Vorgänge beeinträchtigen. In diesem Fall funktioniert das Scannen der VM-Bedrohungserkennung möglicherweise nicht.
VM Threat Detection stützt sich auf die Funktionen des Hypervisors und der Compute Engine von Google Cloud. Daher kann VM Threat Detection nicht in lokalen Umgebungen oder anderen öffentlichen Cloud-Umgebungen ausgeführt werden.
Datenschutz und Sicherheit
VM Threat Detection greift zur Analyse auf Laufwerkklone und den Arbeitsspeicher einer laufenden VM zu. Der Dienst analysiert nur das, was zur Erkennung von Bedrohungen erforderlich ist.
Der Inhalt des VM-Arbeitsspeichers und der Laufwerkklone werden als Eingaben in der VM Threat Detection-Pipeline zur Risikoanalyse verwendet. Die Daten werden bei der Übertragung verschlüsselt und von automatisierten Systemen verarbeitet. Während der Verarbeitung werden Daten durch die Sicherheitskontrollsysteme von Google Cloud geschützt.
Zu Monitoring- und Debugging-Zwecken speichert VM Threat Detection grundlegende Diagnose- und statistische Informationen zu Projekten, die der Dienst schützt.
VM Threat Detection scannt VM-Arbeitsspeicherinhalte und Laufwerkklone in ihren jeweiligen Regionen. Die resultierenden Ergebnisse und Metadaten (z. B. Projekt- und Organisationsnummern) können jedoch außerhalb dieser Regionen gespeichert werden.
Nächste Schritte
- So verwenden Sie VM Threat Detection.
- Ergebnisse von VM Threat Detection untersuchen.