Auf dieser Seite erhalten Sie eine Übersicht über Virtual Machine Threat Detection.
Übersicht
Virtual Machine Threat Detection, ein integrierter Dienst der Premium-Version von Security Command Center, bietet Bedrohungserkennung durch Hypervisor-Instrumentierung und persistente Laufwerkanalyse. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Kryptomining-Software, Rootkits im Kernelmodus und Malware, kompromittierten Cloud-Umgebungen.
VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
VM Threat Detection-Ergebnisse stellen Bedrohungen mit hohem Schweregrad dar, die Sie sofort beheben müssen. VM Threat Detection-Ergebnisse können im Security Command Center abgerufen werden.
Für Organisationen, die für das Security Command Center Premium registriert sind, werden VM-Bedrohungserkennungsscans automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren und/oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.
Funktionsweise von VM Threat Detection
VM Threat Detection ist ein verwalteter Dienst, der aktivierte Compute Engine scannt Projekte und VM-Instanzen, um potenziell schädliche Anwendungen zu erkennen wie Kryptomining-Software und Kernelmodus-Rootkits.
Folgende vereinfachte Abbildung zeigt, wie das Analysemodul von VM Threat Detection Metadaten aus dem VM-Gastspeicher aufnimmt und Ergebnisse in Security Command Center schreibt.
Die VM Threat Detection ist in den Hypervisor von Google Cloud eingebunden, eine sichere Plattform, die alle Compute Engine-VMs erstellt und verwaltet.
VM Threat Detection führt regelmäßig Scans vom Hypervisor in den einer laufenden Gast-VM, ohne den Betrieb des Gasts zu unterbrechen. Außerdem werden Laufwerkskopien regelmäßig gescannt. Da dieser Dienst von außerhalb des Gast-VM-Instanz erfordert, sind keine Gast-Agents oder eine spezielle Konfiguration des Gastbetriebssystems und widerstandsfähig gegen Gegenmaßnahmen ausgeklügelte Malware. Innerhalb der Gast-VM werden keine CPU-Zyklen verbraucht und eine Netzwerkverbindung ist nicht erforderlich. Sicherheitsteams müssen weder Signaturen aktualisieren noch den Dienst verwalten.
So funktioniert die Erkennung von Kryptomining
Die VM Threat Detection nutzt die Bedrohungserkennungsregeln von Google Cloud, um Informationen zu Software zu analysieren, die auf VMs ausgeführt wird. Dazu gehören eine Liste der Anwendungsnamen, die CPU-Nutzung pro Prozess, Hashes von Arbeitsspeicherseiten, CPU-Hardwareleistungszähler und Informationen zum ausgeführten Maschinencode. So wird ermittelt, ob eine Anwendung mit bekannten Signaturen für das Mining von Kryptowährungen übereinstimmt. Wenn möglich, ermittelt VM Threat Detection dann den laufenden Prozess, der mit den erkannten Signaturen übereinstimmt, und fügt Informationen zu diesem Prozess im Ergebnis hinzu.
Funktionsweise der Rootkit-Erkennung im Kernelmodus
VM Threat Detection ermittelt den Typ des Betriebssystems, das auf der VM ausgeführt wird, und verwendet diese Informationen, um den Kernelcode, schreibgeschützte Datenbereiche und andere Kerneldatenstrukturen im Arbeitsspeicher zu bestimmen. VM Threat Detection nutzt verschiedene Techniken, um festzustellen, ob diese Regionen manipuliert wurden, indem sie für das Kernel-Image erwartete vorberechnete Hashes und Integrität wichtiger Kernel-Datenstrukturen.
Funktionsweise der Malwareerkennung
VM Threat Detection verwendet kurzlebige Klone des nichtflüchtigen Speichers Ihrer VM, ohne Ihre Arbeitslasten zu beeinträchtigen, und scannt die Laufwerkklone. Dieser Dienst Sie analysiert ausführbare Dateien auf der VM, um festzustellen, ob Dateien mit bekannten Dateien übereinstimmen. Malware-Signaturen. Das generierte Ergebnis enthält Informationen zur Datei und Malware-Signaturen erkannt.
Scanhäufigkeit
Beim Speicherscan scannt VM Threat Detection jede VM-Instanz unmittelbar nach dem Erstellen der Instanz. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Für die Erkennung von Kryptomining generiert VM Threat Detection ein Ergebnis pro Prozess und pro VM pro Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verbunden sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie aber nicht zuordnen kann eines beliebigen Prozesses, dann gruppiert VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in jedes 24-Stunden-Intervall ein einzelnes Ergebnis. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Bei der Erkennung von Rootkits im Kernelmodus, die sich derzeit in der Vorabversion befindet, generiert VM Threat Detection alle drei Tage ein Ergebnis pro Kategorie und VM.
Beim Scannen von nichtflüchtigen Laufwerken, bei dem bekannte Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens einmal täglich.
Wenn Sie die Premium-Stufe von Security Command Center aktivieren, VM Threat Detection-Scans werden automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren und/oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.
Ergebnisse
In diesem Abschnitt werden die Bedrohungsergebnisse beschrieben, die von VM Threat Detection generiert werden.
Gefundene Bedrohungen
VM Threat Detection hat die folgenden Bedrohungserkennungen.
Ergebnisse zu Bedrohungen durch Kryptowährungs-Mining
VM Threat Detection erkennt die folgenden Ergebniskategorien durch Hash-Abgleich oder YARA-Regeln.
| Kategorie | Modul | Beschreibung |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Eine Bedrohung, die sowohl vom CRYPTOMINING_HASH- als auch vom CRYPTOMINING_YARA-Modul erkannt wurde.
Weitere Informationen finden Sie unter
Kombinierte Erkennungen:
|
Rootkit-Bedrohungsergebnisse im Kernelmodus
VM Threat Detection analysiert die Kernelintegrität zur Laufzeit, um gängige Ausweichtechniken zu erkennen, die von Malware verwendet werden.
Das KERNEL_MEMORY_TAMPERING
das Modul Bedrohungen, indem es einen Hash-Vergleich auf der
Kernel-Code und schreibgeschützter Kernel-Datenspeicher einer virtuellen Maschine.
Das KERNEL_INTEGRITY_TAMPERING-Modul erkennt Bedrohungen, indem die Integrität wichtiger Kernel-Datenstrukturen geprüft wird.
| Kategorie | Modul | Beschreibung |
|---|---|---|
| Manipulation des Kernel-Arbeitsspeichers | ||
Defense Evasion: Unexpected kernel code modificationVorschau
|
KERNEL_MEMORY_TAMPERING
|
Es gibt unerwartete Änderungen am Kernel-Code-Speicher. |
Defense Evasion: Unexpected kernel read-only data modificationVorschau
|
KERNEL_MEMORY_TAMPERING
|
Es gibt unerwartete Änderungen am schreibgeschützten Datenspeicher des Kernels. |
| Manipulation der Kernel-Integrität | ||
Defense Evasion: Unexpected ftrace handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind ftrace Punkte mit Rückrufen vorhanden, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
|
Defense Evasion: Unexpected interrupt handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Unterbrechungs-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden. |
Defense Evasion: Unexpected kernel modulesVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden. |
Defense Evasion: Unexpected kprobe handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe Punkte mit Callbacks, die auf Regionen verweisen, die sich nicht in dieser Region befinden
den erwarteten Kernel- oder Modulcodebereich.
|
Defense Evasion: Unexpected processes in runqueueVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
In der Ausführungswarteschlange des Planers sind unerwartete Prozesse vorhanden. Solche Prozesse befinden sich in der Warteschlange, aber nicht in der Prozessaufgabenliste. |
Defense Evasion: Unexpected system call handlerVorschau
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden. |
| Rootkit | ||
Defense Evasion: RootkitVorschau
|
|
Es ist eine Kombination von Signalen vorhanden, die einem bekannten Rootkit im Kernelmodus entspricht. Empfangen Ergebnisse dieser Kategorie erhalten, achten Sie darauf, dass beide Module aktiviert sind. |
Malware-Bedrohungsergebnisse
VM Threat Detection erkennt die folgenden Ergebniskategorien, indem der nichtflüchtige Speicher einer VM auf bekannte Malware gescannt wird.
| Kategorie | Modul | Beschreibung |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Prüft Übereinstimmung mit Signaturen, die von bekannter Malware verwendet werden. |
Beschränkungen
VM Threat Detection unterstützt Compute Engine-VM-Instanzen mit den folgenden Einschränkungen:
Begrenzte Unterstützung für Windows-VMs:
Bei der Erkennung von Kryptowährung-Mining konzentriert sich VM Threat Detection hauptsächlich auf Linux-Binärdateien. Kryptowährungs-Miner, die unter Windows ausgeführt werden, werden nur in Grenzen abgedeckt.
Für die Rootkit-Erkennung im Kernelmodus, die sich in der Vorabversion befindet, VM Threat Detection unterstützt nur Linux-Betriebssysteme.
Keine Unterstützung für Compute Engine-VMs, die Confidential VM verwenden. Confidential VM-Instanzen verwenden Kryptografie, um den Inhalt des Speichers zu schützen, wenn er in und aus der CPU verschoben wird. Daher kann VM Threat Detection sie nicht scannen.
Einschränkungen beim Laufwerksscan:
Nichtflüchtige Speicher, die mit vom Kunden bereitgestellter Verschlüsselung verschlüsselt sind“ Schlüssel (CSEK) oder vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) nicht unterstützt.
Es werden nur die Partitionen
vfat,ext2undext4gescannt.
VM Threat Detection erfordert den Security Center-Dienst Kundenservicemitarbeiter auf Sie können die VMs in den Projekten auflisten und die Laufwerke im Eigentum von Google klonen. Projekten. Einige Sicherheits- und Richtlinienkonfigurationen, z. B. VPC Service Controls Perimeter und Organisationsrichtlinien Einschränkungen: solche Vorgänge behindern. In diesem Fall funktioniert der Scan von VM Threat Detection möglicherweise nicht.
VM Threat Detection basiert auf den Funktionen der Hypervisor und Compute Engine. Daher kann VM Threat Detection nicht in lokalen Umgebungen oder anderen öffentlichen Cloud-Umgebungen.
Datenschutz und Sicherheit
VM Threat Detection greift zur Analyse auf die Laufwerkskopien und den Arbeitsspeicher einer laufenden VM zu. Der Dienst analysiert nur das, was zum Erkennen von Bedrohungen erforderlich ist.
Der Inhalt des VM-Arbeitsspeichers und der Laufwerkklone werden als Eingaben in der Pipeline für die Risikoanalyse von VM Threat Detection. Die Daten werden während der Übertragung verschlüsselt und von automatisierten Systemen verarbeitet. Bei der Verarbeitung werden Daten durch Sicherheitskontrollsysteme von Google Cloud.
Zu Monitoring- und Debugging-Zwecken speichert VM Threat Detection grundlegende Diagnose- und statistische Informationen zu Projekten, die der Dienst schützt.
VM Threat Detection scannt den VM-Speicherinhalt und Laufwerkklone in ihren jeweiligen Regionen. Die resultierenden Ergebnisse und Metadaten (z. B. Projekt- und Organisationsnummern) können jedoch außerhalb dieser Regionen gespeichert werden.
Nächste Schritte
- So verwenden Sie VM Threat Detection.
- Ergebnisse von VM Threat Detection untersuchen.