En esta página, se proporciona una descripción general de Virtual Machine Threat Detection.
Descripción general
Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, proporciona detección de amenazas a través de la instrumentación a nivel de hipervisor y el análisis de disco persistente. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo de kernel y software malicioso que se ejecuta en entornos de nube comprometidos.
VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center Premium y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.
Los resultados de VM Threat Detection son amenazas graves que te recomendamos corregir de inmediato. Puedes ver los hallazgos de VM Threat Detection en Security Command Center.
Para las organizaciones inscritas en la versión Premium de Security Command Center, los análisis de detección de amenazas de VM se habilitan de forma automática. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilita o inhabilita la detección de amenazas a VM.
Cómo funciona VM Threat Detection
VM Threat Detection es un servicio administrado que analiza los proyectos de Compute Engine y las instancias de máquina virtual (VM) habilitados para detectar aplicaciones potencialmente maliciosas que se ejecutan en las VM, como el software de minería de criptomonedas y los rootkits en modo de kernel.
En la siguiente figura, se muestra una ilustración simplificada que muestra cómo el motor de análisis de VM Threat Detection transfiere metadatos de la memoria de invitado de la VM y escribe los resultados en Security Command Center.
VM Threat Detection está incorporada en el hipervisor de Google Cloud, una plataforma segura que crea y administra todas las VM de Compute Engine.
La detección de amenazas de VM realiza análisis periódicos del hipervisor en la memoria de una VM invitada en ejecución sin pausar la operación del invitado. También analiza las clonaciones de discos de forma periódica. Debido a que este servicio funciona desde fuera de la instancia de VM invitada, no requiere agentes invitados ni una configuración especial del sistema operativo invitado, y es resistente a las contramedidas que usa el software malicioso sofisticado. No se usan ciclos de CPU dentro de la VM invitada y no se requiere conectividad de red. Los equipos de seguridad no necesitan actualizar las firmas ni administrar el servicio.
Cómo funciona la detección de minería de criptomonedas
Con la tecnología de las reglas de detección de amenazas de Google Cloud, VM Threat Detection analiza información sobre el software que se ejecuta en las VM, incluida una lista de nombres de aplicaciones, el uso de CPU por proceso, los hashes de las páginas de memoria, los contadores de rendimiento del hardware de la CPU y la información sobre el código máquina ejecutado para determinar si alguna aplicación coincide con las firmas conocidas de minería de criptomonedas. Cuando sea posible, Virtual Machine Threat Detection determina el proceso en ejecución asociado con la firma detectada y coincide con la información sobre ese proceso en el resultado.
Cómo funciona la detección de rootkit en modo de kernel
VM Threat Detection infiere el tipo de sistema operativo que se ejecuta en la VM y usa esa información para determinar el código del kernel, las regiones de datos de solo lectura y otras estructuras de datos del kernel en la memoria. VM Threat Detection aplica varias técnicas para determinar si se alteran esas regiones, comparándolas con los hashes procesados con anterioridad que se esperan para la imagen del kernel y verificando la integridad de las estructuras importantes de datos del kernel.
Cómo funciona la detección de software malicioso
La detección de amenazas de VM toma clonaciones de corta duración del disco persistente de la VM sin interrumpir las cargas de trabajo y analiza las clonaciones de disco. Este servicio analiza los archivos ejecutables en la VM para determinar si algún archivo coincide con firmas de software malicioso conocidas. El resultado generado contiene información sobre el archivo y las firmas de software malicioso detectadas.
Frecuencia de búsqueda
Para el análisis de memoria, VM Threat Detection analiza cada instancia de VM inmediatamente después de que se crea. Además, VM Threat Detection analiza cada instancia de VM cada 30 minutos.
- Para la detección de minería de criptomonedas, VM Threat Detection genera un hallazgo por proceso, por VM y por día. Cada resultado incluye solo las amenazas asociadas con el proceso que identifica el resultado. Si VM Threat Detection encuentra amenazas, pero no puede asociarlas con ningún proceso, entonces, para cada VM, VM Threat Detection agrupa todas las amenazas no asociadas en un solo hallazgo que emite una vez por cada período de 24 horas. Para cualquier amenaza que dure más de 24 horas, VM Threat Detection generará nuevos hallazgos una vez cada 24 horas.
- Para la detección de rootkits en modo kernel, que está en versión preliminar, VM Threat Detection genera un resultado por categoría, por VM, cada tres días.
Para el análisis de disco persistente, que detecta la presencia de software malicioso conocido, VM Threat Detection analiza cada instancia de VM al menos una vez al día.
Si activas el nivel Premium de Security Command Center, los análisis de detección de amenazas de VM se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilita o inhabilita la detección de amenazas a VM.
Hallazgos
En esta sección, se describen los resultados de observaciones y amenazas que genera VM Threat Detection.
Hallazgos de amenazas
VM Threat Detection tiene las siguientes detecciones de amenazas.
Hallazgos de amenazas de minería de criptomonedas
VM Threat Detection detecta las siguientes categorías de resultados mediante la coincidencia de hash o las reglas YARA.
| Categoría | Módulo | Descripción |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.
Para obtener más información, consulta
Detecciones combinadas.
|
Hallazgos de amenazas de rootkit en modo de kernel
VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa el software malicioso.
El módulo KERNEL_MEMORY_TAMPERING detecta amenazas mediante una comparación de hash en el código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.
El módulo KERNEL_INTEGRITY_TAMPERING verifica la integridad de las estructuras importantes de datos del kernel para detectar amenazas.
| Categoría | Módulo | Descripción |
|---|---|---|
| Manipulación de memoria del kernel | ||
Defense Evasion: Unexpected kernel code modificationVista previa
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria del código de kernel. |
Defense Evasion: Unexpected kernel read-only data modificationVista previa
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel. |
| Manipulación de la integridad del kernel | ||
Defense Evasion: Unexpected ftrace handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Los puntos de ftrace están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango de código de kernel o módulo esperado.
|
Defense Evasion: Unexpected interrupt handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Interrumpir controladores que no están en las regiones de código de kernel o módulo esperadas están presentes. |
Defense Evasion: Unexpected kernel modulesVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Están presentes las páginas de código del kernel que no están en las regiones de código del kernel o del módulo previstas. |
Defense Evasion: Unexpected kprobe handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Los puntos de kprobe están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango de código de kernel o módulo esperado.
|
Defense Evasion: Unexpected processes in runqueueVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Hay procesos inesperados en la cola de ejecución del programador. Estos procesos están en la lista de ejecución, pero no en la lista de tareas de procesos. |
Defense Evasion: Unexpected system call handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Están presentes los controladores de llamadas al sistema que no están en las regiones esperadas de código de kernel o módulo. |
| Rootkit | ||
Defense Evasion: RootkitVista previa
|
|
Está presente una combinación de indicadores que coinciden con un rootkit de modo de kernel conocido. Para recibir resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. |
Hallazgos de amenazas de software malicioso
VM Threat Detection detecta las siguientes categorías de resultados mediante el análisis del disco persistente de una VM en busca de software malicioso conocido.
| Categoría | Módulo | Descripción |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Coincide con las firmas que usa el software malicioso conocido. |
Hallazgo en observación
VM Threat Detection genera los siguientes resultados de observación:
| Nombre de categoría | Nombre de la API | Resumen | Gravedad |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
La detección de amenazas de VM está inhabilitada. Hasta que lo enable, este servicio no podrá analizar tus proyectos de Compute Engine ni instancias de VM en busca de aplicaciones no deseadas.
Este resultado se establece en |
Alta |
Limitaciones
VM Threat Detection admite instancias de VM de Compute Engine, con las siguientes limitaciones:
Compatibilidad limitada con las VM de Windows:
Para la detección de minería de criptomonedas, VM Threat Detection se enfoca principalmente en los objetos binarios de Linux y tiene una cobertura limitada de los mineros de criptomonedas que se ejecutan en Windows.
Para la detección de rootkit en modo de kernel, que está en versión preliminar, VM Threat Detection solo admite los sistemas operativos Linux.
No es compatible con las VM de Compute Engine que usan Confidential VM. Las instancias de Confidential VM usan criptografía para proteger el contenido de la memoria a medida que entra y sale de la CPU. Por lo tanto, VM Threat Detection no puede analizarlas.
Limitaciones del análisis del disco:
No se admiten los discos persistentes encriptados con claves de encriptación proporcionadas por el cliente.
Para esta vista previa, solo se analiza un disco por VM. Solo se analizan las particiones
vfat,ext2yext4.
La detección de amenazas a VM requiere que el agente de servicio del centro de seguridad pueda enumerar las VM de los proyectos y clonar los discos en proyectos que sean propiedad de Google. Algunas opciones de configuración de políticas y seguridad, como los perímetros de los Controles del servicio de VPC y las restricciones de las políticas de la organización, pueden interferir en esas operaciones. En este caso, es posible que el análisis de VM Threat Detection no funcione.
La detección de amenazas de VM depende de las capacidades del hipervisor de Google Cloud y de Compute Engine. Por lo tanto, VM Threat Detection no puede ejecutarse en entornos locales ni en otros entornos de nube pública.
Privacidad y seguridad
VM Threat Detection accede a las clonaciones del disco y la memoria de una VM en ejecución para su análisis. El servicio solo analiza lo necesario para detectar amenazas.
El contenido de la memoria de la VM y las clonaciones de discos se usan como entradas en la canalización del análisis de riesgos de la detección de amenazas de VM. Los datos se encriptan en tránsito y los procesan sistemas automatizados. Durante el procesamiento, los sistemas de control de seguridad de Google Cloud protegen los datos.
Para fines de supervisión y depuración, VM Threat Detection almacena información estadística y de diagnóstico básica sobre los proyectos que protege el servicio.
VM Threat Detection analiza el contenido de la memoria de la VM y las clonaciones de discos en sus respectivas regiones. Sin embargo, los resultados y los metadatos resultantes (como los números de proyecto y organización) pueden almacenarse fuera de esas regiones.
¿Qué sigue?
- Aprende a usar VM Threat Detection.
- Aprende a investigar los resultados de VM Threat Detection.