En esta página, se proporciona una descripción general de Virtual Machine Threat Detection.
Descripción general
Virtual Machine Threat Detection es un servicio integrado de Security Command Center que está disponible en los niveles Enterprise y Premium. Este servicio analiza las instancias de Compute Engine para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube vulnerados.
VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.
Los resultados de VM Threat Detection son amenazas graves que te recomendamos corregir de inmediato. Puedes ver los hallazgos de VM Threat Detection en Security Command Center.
En el caso de las organizaciones inscritas en Security Command Center Premium, los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar o habilitar el servicio a nivel del proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.
Cómo funciona VM Threat Detection
VM Threat Detection es un servicio administrado que analiza proyectos habilitados de Compute Engine y las instancias de máquina virtual (VM) para detectar aplicaciones potencialmente maliciosas que se ejecutan en VMs, como software de minería de criptomonedas y rootkits en modo kernel.
En la siguiente figura, se muestra una ilustración simplificada que muestra cómo el motor de análisis de VM Threat Detection transfiere metadatos de la memoria de invitado de la VM y escribe los resultados en Security Command Center.
VM Threat Detection está incorporada en el hipervisor de Google Cloud, una plataforma segura que crea y administra todas las VM de Compute Engine.
VM Threat Detection realiza análisis de forma periódica desde el hipervisor en la memoria de una VM invitada en ejecución sin pausar la operación del invitado. También analiza los clones de disco de forma periódica. Debido a que este servicio funciona desde fuera de la instancia de VM invitada, no requiere agentes invitados ni una configuración especial del sistema operativo invitado, y es resistente a las contramedidas que usa el software malicioso sofisticado. No se usan ciclos de CPU dentro de la VM invitada y no se requiere conectividad de red. Los equipos de seguridad no necesitan actualizar firmas ni administrar el servicio.
Cómo funciona la detección de minería de criptomonedas
Con las reglas de detección de amenazas de Google Cloud, VM Threat Detection analiza la información sobre el software que se ejecuta en las VMs, incluida una lista de nombres de aplicaciones, el uso de la CPU por proceso, los valores hash de las páginas de memoria, los contadores de rendimiento de hardware de la CPU y la información sobre el código máquina ejecutado para determinar si alguna aplicación coincide con las firmas de minería de criptomonedas conocidas. Cuando sea posible, Virtual Machine Threat Detection determina el proceso en ejecución asociado con la firma detectada y coincide con la información sobre ese proceso en el resultado.
Cómo funciona la detección de rootkits en modo kernel
VM Threat Detection infiere el tipo de sistema operativo que se ejecuta en la VM y usa esa información para determinar el código del kernel, las regiones de datos de solo lectura y otras estructuras de datos del kernel en la memoria. La detección de amenazas de VM aplica varias técnicas para determinar si se manipularon esas regiones. Para ello, las compara con los valores hash precalculados que se esperan para la imagen del kernel y verifica la integridad de las estructuras de datos importantes del kernel.
Cómo funciona la detección de software malicioso
La Detección de amenazas de VM toma clones de corta duración del disco persistente de tu VM, sin interrumpir tus cargas de trabajo, y los analiza. Este servicio analiza los archivos ejecutables en la VM para determinar si alguno coincide con firmas de software malicioso conocidas. El hallazgo generado contiene información sobre el archivo y las firmas de software malicioso detectadas.
Frecuencia de análisis
En el caso del análisis de memoria, VM Threat Detection analiza cada instancia de VM inmediatamente después de su creación. Además, VM Threat Detection analiza cada instancia de VM cada 30 minutos.
- Para la detección de minería de criptomonedas, VM Threat Detection genera un resultado por proceso, por VM y por día. Cada resultado solo incluye las amenazas asociadas con el proceso que identifica. Si VM Threat Detection encuentra amenazas, pero no puede asociarlas con ningún proceso, para cada VM, VM Threat Detection agrupa todas las amenazas no asociadas en un solo resultado que emite una vez por cada período de 24 horas. En el caso de las amenazas que persisten más de 24 horas, VM Threat Detection genera resultados nuevos una vez cada 24 horas.
- En el caso de la detección de rootkits en modo kernel, que está en versión preliminar, VM Threat Detection genera un hallazgo por categoría y por VM cada tres días.
En el caso del análisis de disco persistente, que detecta la presencia de software malicioso conocido, VM Threat Detection analiza cada instancia de VM al menos a diario.
Si activas el nivel Premium de Security Command Center, los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar o habilitar el servicio a nivel del proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.
Resultados
En esta sección, se describen los resultados de amenazas que genera VM Threat Detection.
VM Threat Detection tiene las siguientes detecciones de amenazas.
Resultados de las amenazas de minería de criptomonedas
VM Threat Detection detecta las siguientes categorías de resultados a través de la coincidencia de hash o las reglas de YARA.
Categoría | Módulo | Descripción |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA .
Para obtener más información, consulta
Detecciones combinadas.
|
Hallazgos de amenazas de rootkits en modo de kernel
La detección de amenazas a las VM analiza la integridad del kernel durante el tiempo de ejecución para detectar técnicas de evasión comunes que usa el software malicioso.
El módulo KERNEL_MEMORY_TAMPERING
detecta amenazas realizando una comparación de hash en el código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.
El módulo KERNEL_INTEGRITY_TAMPERING
detecta amenazas verificando la integridad de las estructuras de datos importantes del kernel.
Categoría | Módulo | Descripción |
---|---|---|
Rootkit | ||
Defense Evasion: Rootkit
|
|
Hay una combinación de indicadores que coinciden con un rootkit conocido en modo kernel. Para recibir los resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. |
Manipulación de la memoria del kernel | ||
Defense Evasion: Unexpected kernel code modification Versión preliminar
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria del código del kernel. |
Defense Evasion: Unexpected kernel read-only data modification Versión preliminar
|
KERNEL_MEMORY_TAMPERING
|
Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel. |
Manipulación de la integridad del kernel | ||
Defense Evasion: Unexpected ftrace handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay puntos ftrace con devoluciones de llamada que apuntan a regiones que no están en el rango de código esperado del kernel o del módulo.
|
Defense Evasion: Unexpected interrupt handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de interrupción que no están en las regiones de código del kernel o del módulo esperadas. |
Defense Evasion: Unexpected kernel modules Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay páginas de código de kernel que no están en las regiones de código de kernel o módulo esperadas. |
Defense Evasion: Unexpected kprobe handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay puntos kprobe con devoluciones de llamada que apuntan a regiones que no están en el rango de código esperado del kernel o del módulo.
|
Defense Evasion: Unexpected processes in runqueue Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay procesos inesperados en la cola de ejecución del programador. Estos procesos se encuentran en la fila de ejecución, pero no en la lista de tareas del proceso. |
Defense Evasion: Unexpected system call handler Versión preliminar
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de llamadas del sistema que no están en las regiones de código del kernel o del módulo esperadas. |
Hallazgos de amenazas de software malicioso
VM Threat Detection detecta las siguientes categorías de resultados a través del análisis del disco persistente de una VM en busca de software malicioso conocido.
Categoría | Módulo | Descripción |
---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Coincide con las firmas que usa el software malicioso conocido. |
Limitaciones
VM Threat Detection admite instancias de VM de Compute Engine, con las siguientes limitaciones:
Compatibilidad limitada para las VM de Windows:
Para la detección de minería de criptomonedas, VM Threat Detection se enfoca principalmente en los objetos binarios de Linux y tiene una cobertura limitada de los mineros de criptomonedas que se ejecutan en Windows.
Para la detección de rootkits en modo de kernel, VM Threat Detection solo es compatible con sistemas operativos Linux.
No es compatible con las VM de Compute Engine que usan Confidential VM. Las instancias de Confidential VM usan criptografía para proteger el contenido de la memoria a medida que entra y sale de la CPU. Por lo tanto, VM Threat Detection no puede analizarlas.
Limitaciones del análisis de discos:
No se admiten los discos persistentes encriptados con claves de encriptación proporcionadas por el cliente (CSEK) o claves de encriptación administradas por el cliente (CMEK).
Solo se analizan las particiones
vfat
,ext2
yext4
.
VM Threat Detection requiere que el agente de servicio de Security Center pueda enumerar las VMs en los proyectos y clonar los discos en proyectos de Google. Algunas configuraciones de seguridad y políticas, como los perimetros de los Controles del servicio de VPC y las restricciones de las políticas de la organización, pueden interferir en esas operaciones. En este caso, es posible que el análisis de VM Threat Detection no funcione.
VM Threat Detection depende de las capacidades del hipervisor y Compute Engine de Google Cloud. Por lo tanto, VM Threat Detection no se puede ejecutar en entornos locales ni en otros entornos de nube pública.
Privacidad y seguridad
VM Threat Detection accede a las clones de disco y la memoria de una VM en ejecución para su análisis. El servicio analiza solo lo necesario para detectar amenazas.
El contenido de la memoria de la VM y los clones de disco se usan como entradas en la canalización de análisis de riesgos de VM Threat Detection. Los datos se encriptan en tránsito y los procesan los sistemas automatizados. Durante el procesamiento, los sistemas de control de seguridad de Google Cloud protegen los datos.
Para fines de supervisión y depuración, VM Threat Detection almacena información estadística y de diagnóstico básica sobre los proyectos que protege el servicio.
VM Threat Detection analiza el contenido de la memoria de VM y las clonaciones de disco en sus respectivas regiones. Sin embargo, los resultados y los metadatos resultantes (como los números de proyecto y organización) pueden almacenarse fuera de esas regiones.
¿Qué sigue?
- Obtén más información para usar VM Threat Detection.
- Obtén más información para investigar los resultados de VM Threat Detection.
- Obtén información para inspeccionar una VM en busca de signos de manipulación de la memoria del kernel.