이 페이지에서는 Virtual Machine Threat Detection에 대해 간략히 설명합니다.
개요
Security Command Center 프리미엄의 기본 제공 서비스인 Virtual Machine Threat Detection은 하이퍼바이저 수준 계측 및 영구 디스크 분석을 통해 위협 감지를 제공합니다. VM Threat Detection은 암호화폐 채굴 소프트웨어, 커널 모드 루트킷, 보안 침해된 클라우드 환경에서 실행되는 멀웨어와 같은 잠재적 악성 애플리케이션을 감지합니다.
VM Threat Detection은 Security Command Center 프리미엄의 위협 감지 제품군의 일부이며 Event Threat Detection 및 Container Threat Detection의 기존 기능을 보완하도록 설계되었습니다.
VM Threat Detection 결과는 심각도가 높은 위협이며 즉시 수정하는 것이 좋습니다. Security Command Center에서 VM Threat Detection 발견 항목을 볼 수 있습니다.
Security Command Center 프리미엄에 등록된 조직의 경우 VM Threat Detection 스캔이 자동으로 사용 설정됩니다. 필요한 경우 프로젝트 수준에서 서비스를 중지하거나 사용 설정할 수 있습니다. 자세한 내용은 VM Threat Detection 사용 설정 또는 중지를 참조하세요.
VM Threat Detection 작동 방식
VM Threat Detection은 사용 설정된 Compute Engine 프로젝트 및 가상 머신(VM) 인스턴스를 스캔하여 암호화폐 채굴 소프트웨어 및 커널 모드 루트킷과 같은 VM에서 실행되는 잠재적 악성 애플리케이션을 감지하는 관리형 서비스입니다.
다음 그림은 VM Threat Detection 분석 엔진이 VM 게스트 메모리에서 메타데이터를 수집하여 Security Command Center에 항목을 작성하는 방법을 보여주는 간단한 그림입니다.
VM Threat Detection은 모든 Compute Engine VM을 만들고 관리하는 보안 플랫폼인 Google Cloud 하이퍼바이저에 내장되어 있습니다.
VM Threat Detection은 게스트 작업을 일시중지하지 않고 하이퍼바이저에서 실행 중인 게스트 VM의 메모리로 주기적으로 스캔을 수행합니다. 또한 주기적으로 디스크 클론을 검사합니다. 이 서비스는 게스트 VM 인스턴스 외부에서 작동하기 때문에 게스트 에이전트 또는 게스트 운영체제의 특별한 구성이 필요하지 않으며, 정교한 멀웨어에 사용되는 대응 조치에도 강합니다. 게스트 VM 내부에서 CPU 주기가 사용되지 않으며 네트워크 연결이 필요하지 않습니다. 보안팀에서 서명을 업데이트하거나 서비스를 관리할 필요가 없습니다.
암호화폐 채굴 감지 작동 방식
Google Cloud의 위협 감지 규칙을 기반으로 하는 VM Threat Detection에서는 애플리케이션 이름, 프로세스별 CPU 사용량, 메모리 페이지 해시, CPU 하드웨어 성능 카운터, 애플리케이션이 알려진 암호화폐 채굴 서명과 일치하는지 여부를 결정하는 실행된 기계어 코드에 대한 정보의 목록을 포함해 VM에서 실행 중인 소프트웨어에 대한 정보를 분석합니다. 가능한 경우 VM Threat Detection에서 감지된 서명 일치와 연결된 실행 중인 프로세스를 파악하고 발견 항목에 해당 프로세스에 대한 정보를 포함합니다.
커널 모드 루트킷 감지 작동 방식
VM Threat Detection은 VM에서 실행되는 운영체제 유형을 추론하고 이 정보를 사용하여 커널 코드, 읽기 전용 데이터 리전, 메모리의 기타 커널 데이터 구조를 결정합니다. VM Threat Detection은 여러 기술을 적용하여 커널 이미지에 대해 예상되는 미리 계산된 해시와 비교하고 중요한 커널 데이터 구조의 무결성을 확인하는 방식으로 해당 리전이 변조되었는지 확인합니다.
멀웨어 감지 작동 방식
VM Threat Detection은 워크로드를 중단하지 않고 VM 영구 디스크의 단기 클론을 가져와 디스크 클론을 스캔합니다. 이 서비스는 VM의 실행 파일을 분석하여 파일이 알려진 멀웨어 서명과 일치하는지 확인합니다. 생성된 발견 항목에는 감지된 파일 및 멀웨어 서명에 대한 정보가 포함됩니다.
스캔 빈도
메모리 스캔의 경우 VM Threat Detection은 인스턴스가 생성된 직후 각 VM 인스턴스를 스캔합니다. 또한 VM Threat Detection은는 30분마다 각 VM 인스턴스를 스캔합니다.
- 암호화폐 채굴 감지의 경우 VM Threat Detection에서 프로세스별로 VM별로 매일 하나의 발견 항목을 생성합니다. 각 발견 항목에는 발견 항목으로 식별된 프로세스와 관련된 위협만 포함됩니다. VM Threat Detection이 위협을 발견했지만 어떠한 프로세스와도 이를 연결할 수 없는 경우 VM Threat Detection은 각 VM에 대해 연결되지 않은 모든 위협을 24시간마다 한 번씩 하나의 발견 항목으로 그룹화하여 생성합니다. 24시간 이상 지속되는 위협의 경우 VM Threat Detection이 24시간마다 한 번씩 새 발견 항목을 생성합니다.
- 미리보기 버전인 커널 모드 루트킷 감지의 경우 VM Threat Detection에서 3일마다 VM당 카테고리당 하나의 발견 항목을 생성합니다.
알려진 멀웨어가 있는지 감지하는 영구 디스크 스캔의 경우 VM Threat Detection이 각 VM 인스턴스를 최소한 매일 스캔합니다.
Security Command Center 프리미엄 등급을 활성화하면 VM Threat Detection 스캔이 자동으로 사용 설정됩니다. 필요한 경우 프로젝트 수준에서 서비스를 중지하거나 사용 설정할 수 있습니다. 자세한 내용은 VM Threat Detection 사용 설정 또는 중지를 참조하세요.
발견 항목
이 섹션에서는 VM Threat Detection에서 생성되는 위협 및 관찰 결과를 설명합니다.
위협 발견 항목
VM Threat Detection에는 다음과 같은 위협 감지가 있습니다.
암호화폐 채굴 위협 발견 항목
VM Threat Detection은 해시 일치 또는 YARA 규칙을 통해 다음 발견 항목 카테고리를 감지합니다.
| 카테고리 | 모듈 | 설명 |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
실행 중인 프로그램의 메모리 해시를 암호화폐 채굴 소프트웨어의 알려진 메모리 해시와 일치합니다. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
암호화폐 채굴 소프트웨어에서 사용하는 것으로 알려진 개념 증명 상수와 같은 메모리 패턴과 일치합니다. |
Execution: Cryptocurrency Mining Combined Detection
|
|
CRYPTOMINING_HASH 모듈과 CRYPTOMINING_YARA 모듈에서 모두 감지된 위협을 식별합니다.
자세한 내용은 결합 감지를 참조하세요.
|
커널 모드 루트킷 위협 발견 항목
VM Threat Detection은 런타임 시 커널 무결성을 분석하여 멀웨어에 사용되는 일반적인 회피 기술을 감지합니다.
KERNEL_MEMORY_TAMPERING 모듈은 가상 머신의 커널 코드 및 커널 읽기 전용 데이터 메모리에 대한 해시 비교를 수행하여 위협을 감지합니다.
KERNEL_INTEGRITY_TAMPERING 모듈은 중요한 커널 데이터 구조의 무결성을 확인하여 위협을 감지합니다.
| 카테고리 | 모듈 | 설명 |
|---|---|---|
| 커널 메모리 조작 | ||
Defense Evasion: Unexpected kernel code modification미리보기
|
KERNEL_MEMORY_TAMPERING
|
커널 코드 메모리가 예기치 않게 수정되었습니다. |
Defense Evasion: Unexpected kernel read-only data modification미리보기
|
KERNEL_MEMORY_TAMPERING
|
커널 읽기 전용 데이터 메모리가 예기치 않게 수정되었습니다. |
| 커널 무결성 조작 | ||
Defense Evasion: Unexpected ftrace handler미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace 포인트는 예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 제공됩니다.
|
Defense Evasion: Unexpected interrupt handler미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
예상된 커널 또는 모듈 코드 리전에 없는 중단 핸들러가 있습니다. |
Defense Evasion: Unexpected kernel modules미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
예상 커널 또는 모듈 코드 리전에 없는 커널 코드 페이지가 있습니다. |
Defense Evasion: Unexpected kprobe handler미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe 포인트는 예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 제공됩니다.
|
Defense Evasion: Unexpected processes in runqueue미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
스케줄러 실행 큐에 예상치 못한 프로세스가 있습니다. 이러한 프로세스는 실행 큐에 있지만 프로세스 태스크 목록에는 없습니다. |
Defense Evasion: Unexpected system call handler미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
예상 커널 또는 모듈 코드 리전에 없는 시스템 호출 핸들러가 있습니다. |
| 루트킷 | ||
Defense Evasion: Rootkit미리보기
|
|
알려진 커널 모드 루트킷과 일치하는 신호의 조합이 존재합니다. 이 카테고리의 발견 항목을 수신하려면 두 모듈 모두 사용 설정되어 있는지 확인합니다. |
멀웨어 위협 발견 항목
VM Threat Detection은 VM의 영구 디스크에서 알려진 멀웨어를 스캔하여 다음 발견 항목 카테고리를 감지합니다.
| 카테고리 | 모듈 | 설명 |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
알려진 멀웨어에 사용되는 서명과 일치 |
관찰 발견 항목
VM Threat Detection은 다음과 같은 관찰 발견 항목을 생성합니다.
| 카테고리 이름 | API 이름 | 요약 | 심각도 |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
VM Threat Detection이 사용 중지되었습니다. 서비스를 사용 설정하기 전까지 이 서비스는 Compute Engine 프로젝트와 VM 인스턴스에서 원치 않는 애플리케이션을 검사할 수 없습니다.
이 발견 항목은 30일 후 |
높음 |
제한사항
VM Threat Detection은 Compute Engine VM 인스턴스를 지원하며 다음과 같은 제한사항이 있습니다.
Windows VM을 제한적으로 지원합니다.
암호화폐 채굴 감지의 경우 VM Threat Detection은 주로 Linux 바이너리에 중점을 두며 Windows에서 실행되는 암호화폐 채굴자에 대한 적용 범위가 제한적입니다.
미리보기 버전인 커널 모드 루트킷 감지의 경우 VM Threat Detection은 Linux 운영체제만 지원합니다.
컨피덴셜 VM을 사용하는 Compute Engine VM은 지원되지 않습니다. 컨피덴셜 VM 인스턴스는 암호화를 사용하여 CPU를 드나드는 메모리의 콘텐츠를 보호합니다. 따라서 VM 위협 감지에서 이를 스캔할 수 없습니다.
디스크 스캔 제한사항:
고객 제공 암호화 키로 암호화된 영구 디스크는 지원되지 않습니다.
이 미리보기에서는 VM당 하나의 디스크만 스캔됩니다.
vfat,ext2,ext4파티션만 스캔됩니다.
VM Threat Detection을 사용하려면 보안 센터 서비스 에이전트가 프로젝트의 VM을 나열하고 디스크를 Google 소유 프로젝트에 클론할 수 있어야 합니다. VPC 서비스 제어 경계 및 조직 정책 제약조건과 같은 일부 보안 및 정책 구성은 이러한 작업을 방해할 수 있습니다. 이 경우 VM Threat Detection 스캔이 작동하지 않을 수 있습니다.
VM Threat Detection은 Google Cloud 하이퍼바이저 및 Compute Engine의 기능에 의존합니다. 따라서 온프레미스 환경 또는 다른 퍼블릭 클라우드 환경에서는 VM Threat Detection을 실행할 수 없습니다.
개인정보 보호 및 보안
VM Threat Detection은 분석을 위해 실행 중인 VM의 디스크 클론 및 메모리에 액세스합니다. 이 서비스는 위협을 감지하는 데 필요한 항목만 분석합니다.
VM 메모리 및 디스크 클론의 콘텐츠는 VM Threat Detection 위험 분석 파이프라인에서 입력으로 사용됩니다. 데이터는 전송 중에 암호화되고 자동화된 시스템에 의해 처리됩니다. 처리 중에 데이터는 Google Cloud의 보안 제어 시스템에 의해 보호됩니다.
VM Threat Detection은 모니터링 및 디버깅을 위해 서비스에서 보호하는 프로젝트에 대한 기본 진단 및 통계 정보를 저장합니다.
VM Threat Detection은 각 리전의 VM 메모리 콘텐츠 및 디스크 클론을 스캔합니다. 하지만 결과 발견 항목 및 메타데이터(예: 프로젝트 및 조직 번호)는 이러한 리전 외부에 저장될 수 있습니다.
다음 단계
- VM Threat Detection 사용 방법 알아보기
- VM Threat Detection 발견 항목을 조사하는 방법 알아보기