Ringkasan Virtual Machine Threat Detection

Halaman ini memberikan ringkasan tentang Virtual Machine Threat Detection.

Ringkasan

Virtual Machine Threat Detection adalah layanan bawaan Security Command Center yang tersedia di paket Enterprise dan Premium. Layanan ini memindai instance Compute Engine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan cryptocurrency, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.

Deteksi Ancaman VM adalah bagian dari suite deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan yang ada dari Event Threat Detection dan Container Threat Detection.

Temuan Virtual Machine Threat Detection adalah ancaman dengan tingkat keparahan tinggi yang sebaiknya Anda perbaiki segera. Anda dapat melihat temuan Deteksi Ancaman VM di Security Command Center.

Untuk organisasi yang terdaftar di Security Command Center Premium, pemindaian VM Threat Detection akan otomatis diaktifkan. Jika perlu, Anda dapat menonaktifkan layanan atau mengaktifkan layanan di tingkat project. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan VM Threat Detection.

Cara kerja Virtual Machine Threat Detection

VM Threat Detection adalah layanan terkelola yang memindai project Compute Engine dan instance virtual machine (VM) yang diaktifkan untuk mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di VM, seperti software penambangan mata uang kripto dan rootkit mode kernel.

Gambar berikut adalah ilustrasi sederhana yang menunjukkan cara mesin analisis VM Threat Detection menyerap metadata dari memori tamu VM dan menulis temuan ke Security Command Center.

Jalur data yang disederhanakan untuk Virtual Machine Threat Detection
Jalur data yang disederhanakan untuk Virtual Machine Threat Detection

Deteksi Ancaman VM terintegrasi di hypervisor Google Cloud, platform aman yang membuat dan mengelola semua VM Compute Engine.

Virtual Machine Threat Detection secara berkala melakukan pemindaian dari hypervisor ke memori VM tamu yang berjalan tanpa menjeda operasi tamu. Layanan ini juga memindai clone disk secara berkala. Karena layanan ini beroperasi dari luar instance VM tamu, layanan ini tidak memerlukan agen tamu atau konfigurasi khusus sistem operasi tamu, dan tahan terhadap tindakan pencegahan yang digunakan oleh malware canggih. Tidak ada siklus CPU yang digunakan di dalam VM tamu, dan konektivitas jaringan tidak diperlukan. Tim keamanan tidak perlu memperbarui tanda tangan atau mengelola layanan.

Cara kerja deteksi penambangan mata uang kripto

Didukung oleh aturan deteksi ancaman Google Cloud, Deteksi Ancaman VM menganalisis informasi tentang software yang berjalan di VM, termasuk daftar nama aplikasi, penggunaan CPU per proses, hash halaman memori, penghitung performa hardware CPU, dan informasi tentang kode mesin yang dieksekusi untuk menentukan apakah aplikasi apa pun cocok dengan tanda tangan penambangan mata uang kripto yang diketahui. Jika memungkinkan, Deteksi Ancaman VM kemudian menentukan proses yang sedang berjalan yang terkait dengan kecocokan tanda tangan yang terdeteksi dan menyertakan informasi tentang proses tersebut dalam temuan.

Cara kerja deteksi rootkit mode kernel

Deteksi Ancaman VM menyimpulkan jenis sistem operasi yang berjalan di VM dan menggunakan informasi tersebut untuk menentukan kode kernel, region data hanya baca, dan struktur data kernel lainnya di memori. Deteksi Ancaman VM menerapkan berbagai teknik untuk menentukan apakah region tersebut dimodifikasi, dengan membandingkannya dengan hash yang telah dihitung sebelumnya yang diharapkan untuk image kernel dan memverifikasi integritas struktur data kernel yang penting.

Cara kerja deteksi malware

Deteksi Ancaman VM mengambil clone jangka pendek dari persistent disk VM Anda, tanpa mengganggu workload Anda, dan memindai clone disk. Layanan ini menganalisis file yang dapat dieksekusi di VM untuk menentukan apakah ada file yang cocok dengan tanda tangan malware yang diketahui. Temuan yang dihasilkan berisi informasi tentang file dan tanda tangan malware yang terdeteksi.

Frekuensi pemindaian

Untuk pemindaian memori, Deteksi Ancaman VM akan memindai setiap instance VM segera setelah instance dibuat. Selain itu, Deteksi Ancaman VM memindai setiap instance VM setiap 30 menit.

  • Untuk deteksi penambangan mata uang kripto, Deteksi Ancaman VM menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya menyertakan ancaman yang terkait dengan proses yang diidentifikasi oleh temuan. Jika Virtual Machine Threat Detection menemukan ancaman, tetapi tidak dapat mengaitkannya dengan proses apa pun, maka, untuk setiap VM, Virtual Machine Threat Detection akan mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang dikeluarkan sekali per periode 24 jam. Untuk ancaman yang bertahan lebih dari 24 jam, Deteksi Ancaman VM akan menghasilkan temuan baru sekali setiap 24 jam.
  • Untuk deteksi rootkit mode kernel, yang masih dalam Pratinjau, Deteksi Ancaman VM menghasilkan satu temuan per kategori, per VM, setiap tiga hari.

Untuk pemindaian disk persisten, yang mendeteksi keberadaan malware yang diketahui, Deteksi Ancaman VM memindai setiap instance VM setidaknya setiap hari.

Jika Anda mengaktifkan paket Premium Security Command Center, pemindaian VM Threat Detection akan otomatis diaktifkan. Jika diperlukan, Anda dapat menonaktifkan layanan dan/atau mengaktifkan layanan di tingkat project. Untuk informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan VM Threat Detection.

Temuan

Bagian ini menjelaskan temuan ancaman yang dihasilkan oleh Virtual Machine Threat Detection.

Deteksi Ancaman VM memiliki deteksi ancaman berikut.

Temuan ancaman penambangan mata uang kripto

Deteksi Ancaman VM mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.

Temuan ancaman penambangan mata uang kripto Deteksi Ancaman VM
Kategori Modul Deskripsi
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Mencocokkan hash memori program yang berjalan dengan hash memori yang diketahui dari software penambangan mata uang kripto.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Mengidentifikasi ancaman yang terdeteksi oleh modul CRYPTOMINING_HASH dan CRYPTOMINING_YARA. Untuk mengetahui informasi selengkapnya, lihat Deteksi gabungan.

Temuan ancaman rootkit mode kernel

VM Threat Detection menganalisis integritas kernel pada waktu proses untuk mendeteksi teknik pengelakan umum yang digunakan oleh malware.

Modul KERNEL_MEMORY_TAMPERING mendeteksi ancaman dengan melakukan perbandingan hash pada kode kernel dan memori data hanya baca kernel dari virtual machine.

Modul KERNEL_INTEGRITY_TAMPERING mendeteksi ancaman dengan memeriksa integritas struktur data kernel yang penting.

Temuan ancaman rootkit mode kernel VM Threat Detection
Kategori Modul Deskripsi
Rootkit
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Ada kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan.
Penyalahgunaan memori kernel
Defense Evasion: Unexpected kernel code modificationPratinjau KERNEL_MEMORY_TAMPERING Terdapat modifikasi memori kode kernel yang tidak terduga.
Defense Evasion: Unexpected kernel read-only data modificationPratinjau KERNEL_MEMORY_TAMPERING Terdapat modifikasi memori data hanya baca kernel yang tidak terduga.
Penyalahgunaan integritas kernel
Defense Evasion: Unexpected ftrace handlerPratinjau KERNEL_INTEGRITY_TAMPERING Titik ftrace ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan.
Defense Evasion: Unexpected interrupt handlerPratinjau KERNEL_INTEGRITY_TAMPERING Pengendali interupsi yang tidak berada di wilayah kode kernel atau modul yang diharapkan ada.
Defense Evasion: Unexpected kernel modulesPratinjau KERNEL_INTEGRITY_TAMPERING Halaman kode kernel yang tidak berada di region kode kernel atau modul yang diharapkan ada.
Defense Evasion: Unexpected kprobe handlerPratinjau KERNEL_INTEGRITY_TAMPERING Titik kprobe ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan.
Defense Evasion: Unexpected processes in runqueuePratinjau KERNEL_INTEGRITY_TAMPERING Terdapat proses yang tidak terduga di antrean run penjadwal. Proses tersebut berada dalam antrean operasi, tetapi tidak dalam daftar tugas proses.
Defense Evasion: Unexpected system call handlerPratinjau KERNEL_INTEGRITY_TAMPERING Pengendali panggilan sistem yang tidak berada di wilayah kode kernel atau modul yang diharapkan ada.

Temuan ancaman malware

Deteksi Ancaman VM mendeteksi kategori temuan berikut dengan memindai persistent disk VM untuk menemukan malware yang diketahui.

Temuan ancaman malware VM Threat Detection
Kategori Modul Deskripsi
Malware: Malicious file on disk (YARA) MALWARE_DISK_SCAN_YARA Mencocokkan tanda tangan yang digunakan oleh malware yang diketahui.

Batasan

Deteksi Ancaman VM mendukung instance VM Compute Engine, dengan batasan berikut:

  • Dukungan terbatas untuk VM Windows:

    • Untuk deteksi penambangan mata uang kripto, Deteksi Ancaman VM terutama berfokus pada biner Linux dan memiliki cakupan terbatas untuk penambang mata uang kripto yang berjalan di Windows.

    • Untuk deteksi rootkit mode kernel, Deteksi Ancaman VM hanya mendukung sistem operasi Linux.

  • Tidak ada dukungan untuk VM Compute Engine yang menggunakan Confidential VM. Instance VM rahasia menggunakan kriptografi untuk melindungi konten memori saat berpindah masuk dan keluar dari CPU. Dengan demikian, VM Threat Detection tidak dapat memindainya.

  • Batasan pemindaian disk:

  • Deteksi Ancaman VM mengharuskan Agen Layanan Security Center dapat mencantumkan VM dalam project dan meng-clone disk ke project milik Google. Beberapa konfigurasi keamanan dan kebijakan—seperti perimeter Kontrol Layanan VPC dan batasan kebijakan organisasi—dapat mengganggu operasi tersebut. Dalam hal ini, pemindaian Virtual Machine Threat Detection mungkin tidak berfungsi.

  • VM Threat Detection mengandalkan kemampuan hypervisor dan Compute Engine Google Cloud. Dengan demikian, Deteksi Ancaman VM tidak dapat berjalan di lingkungan lokal atau di lingkungan cloud publik lainnya.

Privasi dan keamanan

Deteksi Ancaman VM mengakses clone disk dan memori VM yang sedang berjalan untuk analisis. Layanan ini hanya menganalisis hal yang diperlukan untuk mendeteksi ancaman.

Konten memori VM dan clone disk digunakan sebagai input dalam pipeline analisis risiko Deteksi Ancaman VM. Data dienkripsi saat dalam pengiriman dan diproses oleh sistem otomatis. Selama pemrosesan, data dilindungi oleh sistem kontrol keamanan Google Cloud.

Untuk tujuan pemantauan dan proses debug, VM Threat Detection menyimpan informasi diagnostik dan statistik dasar tentang project yang dilindungi layanan.

Deteksi Ancaman VM memindai konten memori VM dan clone disk di region masing-masing. Namun, temuan dan metadata yang dihasilkan (seperti nomor project dan organisasi) mungkin disimpan di luar region tersebut.

Langkah selanjutnya