En esta página, se proporciona una descripción general de Virtual Machine Threat Detection.
Descripción general
Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, proporciona detección de amenazas mediante instrumentación a nivel de hipervisor y análisis de disco persistente. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube comprometidos.
VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center Premium y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.
Los resultados de VM Threat Detection son amenazas graves que te recomendamos corregir de inmediato. Puedes ver los hallazgos de VM Threat Detection en Security Command Center.
Para las organizaciones inscritas en Security Command Center Premium, los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.
Cómo funciona VM Threat Detection
VM Threat Detection es un servicio administrado que analiza los proyectos de Compute Engine y las instancias de máquina virtual (VM) habilitadas para detectar aplicaciones potencialmente maliciosas que se ejecutan en las VM, como el software de minería de criptomonedas y los rootkits en modo de kernel.
En la siguiente figura, se muestra una ilustración simplificada que muestra cómo el motor de análisis de VM Threat Detection transfiere metadatos de la memoria de invitado de la VM y escribe los resultados en Security Command Center.
VM Threat Detection está incorporada en el hipervisor de Google Cloud, una plataforma segura que crea y administra todas las VM de Compute Engine.
VM Threat Detection realiza análisis periódicos desde el hipervisor hasta la memoria de una VM invitada en ejecución sin pausar la operación del invitado. También analiza de forma periódica las clonaciones de discos. Debido a que este servicio funciona desde fuera de la instancia de VM invitada, no requiere agentes invitados ni una configuración especial del sistema operativo invitado, y es resistente a las contramedidas que usan el software malicioso sofisticado. No se usan ciclos de CPU dentro de la VM invitada y no se requiere conectividad de red. Los equipos de seguridad no necesitan actualizar las firmas ni administrar el servicio.
Cómo funciona la detección de minería de criptomonedas
Con la tecnología de las reglas de detección de amenazas de Google Cloud, VM Threat Detection analiza información sobre el software que se ejecuta en las VMs, lo que incluye una lista de nombres de aplicaciones, uso de CPU por proceso, hashes de páginas de memoria, contadores de rendimiento del hardware de la CPU e información sobre el código máquina ejecutado para determinar si alguna aplicación coincide con las firmas conocidas de minería de criptomonedas. Cuando sea posible, Virtual Machine Threat Detection determina el proceso en ejecución asociado con la firma detectada y coincide con la información sobre ese proceso en el resultado.
Cómo funciona la detección de rootkit en modo kernel
VM Threat Detection infiere el tipo de sistema operativo que se ejecuta en la VM y usa esa información para determinar el código del kernel, las regiones de datos de solo lectura y otras estructuras de datos de kernel en la memoria. VM Threat Detection aplica varias técnicas para determinar si esas regiones fueron manipuladas, comparándolas con los hashes precalculados que se esperan para la imagen del kernel y verificando la integridad de las estructuras de datos importantes del kernel.
Cómo funciona la detección de software malicioso
VM Threat Detection toma clones de corta duración del disco persistente de tu VM, sin interrumpir tus cargas de trabajo, y analiza los clonaciones del disco. Este servicio analiza archivos ejecutables en la VM para determinar si alguno de ellos coincide con firmas conocidas de software malicioso. El hallazgo generado contiene información sobre el archivo y las firmas de software malicioso detectadas.
Frecuencia de búsqueda
Para el análisis de memoria, VM Threat Detection analiza cada instancia de VM inmediatamente después de crearla. Además, VM Threat Detection analiza cada instancia de VM cada 30 minutos.
- Para la detección de minería de criptomonedas, VM Threat Detection genera un hallazgo por proceso, por VM y por día. Cada hallazgo incluye solo las amenazas asociadas con el proceso que se identifica. Si VM Threat Detection encuentra amenazas, pero no puede asociarlas con ningún proceso, para cada VM, VM Threat Detection agrupa todas las amenazas no asociadas en un solo hallazgo que emite una vez por cada período de 24 horas. Para cualquier amenaza que persista por más de 24 horas, VM Threat Detection genera resultados nuevos una vez cada 24 horas.
- Para la detección de rootkit en modo kernel, que está en versión preliminar, VM Threat Detection genera un hallazgo por categoría, por VM, cada tres días.
Para el análisis de disco persistente, que permite detectar la presencia de software malicioso conocido, la detección de amenazas de VM analiza cada instancia de VM al menos una vez al día.
Si activas el nivel Premium de Security Command Center, los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.
Resultados
En esta sección, se describen los hallazgos de amenazas y observaciones que genera VM Threat Detection.
Hallazgos de amenazas
VM Threat Detection tiene las siguientes detecciones de amenazas.
Hallazgos de amenazas de minería de criptomonedas
VM Threat Detection detecta las siguientes categorías de hallazgos a través de la coincidencia de hash o las reglas YARA.
| Categoría | Módulo | Descripción |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.
Para obtener más información, consulta
Detecciones combinadas.
|
Hallazgos de amenazas de rootkit en modo kernel
VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa el software malicioso.
El módulo KERNEL_MEMORY_TAMPERING detecta amenazas mediante una comparación de hash en el código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.
El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas mediante la verificación de la integridad de estructuras de datos importantes del kernel.
| Categoría | Módulo | Descripción |
|---|---|---|
| Manipulación de la memoria del kernel | ||
Defense Evasion: Unexpected kernel code modificationVista previa
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria del código del kernel. |
Defense Evasion: Unexpected kernel read-only data modificationVista previa
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel. |
| Manipulación de la integridad del kernel | ||
Defense Evasion: Unexpected ftrace handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Los puntos ftrace están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango esperado de código de módulo o kernel.
|
Defense Evasion: Unexpected interrupt handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Interrumpe los controladores que no estén presentes en las regiones esperadas de código de kernel o módulo. |
Defense Evasion: Unexpected kernel modulesVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Están presentes las páginas de código de kernel que no se encuentran en las regiones esperadas de código de kernel o módulo. |
Defense Evasion: Unexpected kprobe handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Los puntos kprobe están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango esperado de código de módulo o kernel.
|
Defense Evasion: Unexpected processes in runqueueVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Hay procesos inesperados en la cola de ejecución del programador. Tales procesos están en la cola de ejecución, pero no en la lista de tareas de proceso. |
Defense Evasion: Unexpected system call handlerVista previa
|
KERNEL_INTEGRITY_TAMPERING
|
Los controladores de llamadas del sistema que no están en las regiones esperadas de código de kernel o módulo, están presentes. |
| Rootkit | ||
Defense Evasion: RootkitVista previa
|
|
Existe una combinación de señales que coinciden con un rootkit de modo de kernel conocido. Para recibir resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. |
Hallazgos de amenazas de software malicioso
VM Threat Detection detecta las siguientes categorías de hallazgos mediante el análisis del disco persistente de una VM en busca de software malicioso conocido.
| Categoría | Módulo | Descripción |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Hace coincidir las firmas que utiliza el malware conocido. |
Hallazgo de observación
VM Threat Detection genera los siguientes resultados de observación:
| Nombre de categoría | Nombre de la API | Resumen | Gravedad |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
La detección de amenazas de VM está inhabilitada. Hasta que enable, este servicio no puede analizar tus proyectos de Compute Engine ni tus instancias de VM en busca de aplicaciones no deseadas.
Este resultado se establece en |
Alto |
Limitaciones
VM Threat Detection admite instancias de VM de Compute Engine, con las siguientes limitaciones:
Compatibilidad limitada con las VMs de Windows:
En cuanto a la detección de minería de criptomonedas, VM Threat Detection se enfoca principalmente en los objetos binarios de Linux y tiene una cobertura limitada de los mineros de criptomonedas que se ejecutan en Windows.
Para la detección de rootkit en modo kernel, que está en versión preliminar, VM Threat Detection solo es compatible con los sistemas operativos Linux.
No es compatible con las VM de Compute Engine que usan Confidential VM. Las instancias de Confidential VM usan criptografía para proteger el contenido de la memoria a medida que entra y sale de la CPU. Por lo tanto, VM Threat Detection no puede analizarlas.
Limitaciones del análisis de discos:
No se admiten los discos persistentes encriptados con claves de encriptación proporcionadas por el cliente (CSEK) o claves de encriptación administradas por el cliente (CMEK).
Solo se analizan las particiones
vfat,ext2yext4.
VM Threat Detection requiere que el agente de servicio del centro de seguridad pueda enumerar las VMs de los proyectos y clonar los discos en proyectos que son propiedad de Google. Algunas opciones de configuración de políticas y seguridad, como los perímetros de los Controles del servicio de VPC y las restricciones de las políticas de la organización, pueden interferir en esas operaciones. En este caso, el análisis de VM Threat Detection podría no funcionar.
VM Threat Detection se basa en las capacidades del hipervisor de Google Cloud y Compute Engine. Por lo tanto, VM Threat Detection no puede ejecutarse en entornos locales ni en otros entornos de nube pública.
Privacidad y seguridad
VM Threat Detection accede a los clones de discos y la memoria de una VM en ejecución para su análisis. El servicio analiza solo lo que es necesario para detectar amenazas.
El contenido de la memoria de la VM y las clonaciones de discos se usan como entradas en la canalización del análisis de riesgos de la detección de amenazas de VM. Los datos se encriptan en tránsito y se procesan con sistemas automatizados. Los sistemas de control de seguridad de Google Cloud protegen los datos.
Para fines de supervisión y depuración, VM Threat Detection almacena información estadística y de diagnóstico básica sobre los proyectos que protege el servicio.
VM Threat Detection analiza el contenido de la memoria de la VM y las clonaciones de discos en sus respectivas regiones. Sin embargo, los resultados y los metadatos resultantes (como los números de proyecto y organización) pueden almacenarse fuera de esas regiones.
¿Qué sigue?
- Aprende a usar la detección de amenazas de VM.
- Obtén más información sobre cómo investigar los hallazgos de VM Threat Detection.