Halaman ini menyediakan ringkasan tentang Deteksi Ancaman Mesin Virtual.
Ringkasan
Virtual Machine Threat Detection, layanan bawaan Security Command Center Premium, menyediakan deteksi ancaman melalui instrumentasi level hypervisor dan analisis persistent disk. VM Threat Detection mendeteksi aplikasi yang berpotensi membahayakan, seperti software penambangan mata uang kripto, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.
VM Threat Detection adalah bagian dari rangkaian deteksi ancaman Security Command Center Premium dan dirancang untuk melengkapi kemampuan Event Threat Detection dan Container Threat Detection yang sudah ada.
Temuan Deteksi Ancaman VM adalah ancaman dengan tingkat keparahan tinggi dan sebaiknya segera diperbaiki. Anda dapat melihat temuan Deteksi Ancaman VM di Security Command Center.
Untuk organisasi yang terdaftar di Security Command Center Premium, pemindaian Deteksi Ancaman VM diaktifkan secara otomatis. Jika perlu, Anda dapat menonaktifkan layanan dan/atau mengaktifkan layanan di level project. Untuk mengetahui informasi lebih lanjut, baca bagian Mengaktifkan atau menonaktifkan Deteksi Ancaman VM.
Cara kerja Deteksi Ancaman VM
VM Threat Detection adalah layanan terkelola yang memindai project Compute Engine dan instance virtual machine (VM) yang diaktifkan untuk mendeteksi aplikasi berpotensi berbahaya yang berjalan di VM, seperti software penambangan mata uang kripto dan rootkit mode kernel.
Gambar berikut adalah ilustrasi sederhana yang menunjukkan cara mesin analisis VM Threat Detection menyerap metadata dari memori tamu VM dan menulis temuan ke Security Command Center.
VM Threat Detection dibangun ke dalam hypervisor Google Cloud, sebuah platform aman yang membuat dan mengelola semua VM Compute Engine.
VM Threat Detection secara berkala melakukan pemindaian dari hypervisor ke dalam memori VM tamu yang sedang berjalan tanpa menjeda operasi tamu. Alat ini juga memindai clone disk secara berkala. Karena beroperasi dari luar instance VM tamu, layanan ini tidak memerlukan agen tamu atau konfigurasi khusus sistem operasi tamu, dan tahan terhadap tindakan penanggulangan yang digunakan oleh malware canggih. Tidak ada siklus CPU yang digunakan di dalam VM tamu, dan konektivitas jaringan tidak diperlukan. Tim keamanan tidak perlu memperbarui tanda tangan atau mengelola layanan.
Cara kerja deteksi penambangan mata uang kripto
Dengan teknologi aturan deteksi ancaman Google Cloud, VM Threat Detection menganalisis informasi tentang software yang berjalan di VM, termasuk daftar nama aplikasi, penggunaan CPU per proses, hash halaman memori, penghitung performa hardware CPU, dan informasi tentang kode mesin yang dieksekusi untuk menentukan apakah aplikasi ada yang cocok dengan tanda tangan penambangan mata uang kripto yang diketahui. Jika memungkinkan, VM Threat Detection akan menentukan proses yang sedang berjalan terkait dengan kecocokan tanda tangan yang terdeteksi, dan menyertakan informasi tentang proses tersebut dalam temuan.
Cara kerja deteksi rootkit mode kernel
VM Threat Detection menyimpulkan jenis sistem operasi yang berjalan pada VM dan menggunakan informasi tersebut untuk menentukan kode kernel, region data hanya baca, dan struktur data kernel lainnya dalam memori. VM Threat Detection menerapkan berbagai teknik untuk menentukan apakah region tersebut telah dimodifikasi atau tidak, dengan membandingkannya dengan hash yang sudah dikomputasi sebelumnya yang diharapkan untuk image kernel dan memverifikasi integritas struktur data kernel yang penting.
Cara kerja deteksi malware
VM Threat Detection mengambil clone jangka pendek dari persistent disk VM Anda, tanpa mengganggu beban kerja Anda, dan memindai clone disk. Layanan ini menganalisis file yang dapat dieksekusi di VM untuk menentukan apakah ada file yang cocok dengan tanda tangan malware yang dikenal. Temuan yang dihasilkan berisi informasi tentang file dan tanda tangan malware yang terdeteksi.
Frekuensi pemindaian
Untuk pemindaian memori, VM Threat Detection memindai setiap instance VM segera setelah instance dibuat. Selain itu, VM Threat Detection memindai setiap instance VM setiap 30 menit.
- Untuk deteksi penambangan mata uang kripto, VM Threat Detection menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya mencakup ancaman yang terkait dengan proses yang diidentifikasi oleh temuan tersebut. Jika VM Threat Detection menemukan ancaman, tetapi tidak dapat mengaitkannya dengan proses apa pun, maka, untuk setiap VM, Deteksi Ancaman VM mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang muncul sekali per periode 24 jam. Untuk ancaman yang bertahan lebih dari 24 jam, Deteksi Ancaman VM menghasilkan temuan baru setiap 24 jam sekali.
- Untuk deteksi rootkit mode kernel, yang ada di Pratinjau, Deteksi Ancaman VM menghasilkan satu temuan per kategori, per VM, setiap tiga hari.
Untuk pemindaian persistent disk, yang mendeteksi keberadaan malware yang diketahui, VM Threat Detection akan memindai setiap instance VM setidaknya setiap hari.
Jika Anda mengaktifkan paket Premium Security Command Center, pemindaian Deteksi Ancaman VM akan diaktifkan secara otomatis. Jika perlu, Anda dapat menonaktifkan layanan dan/atau mengaktifkan layanan di level project. Untuk mengetahui informasi lebih lanjut, baca bagian Mengaktifkan atau menonaktifkan Deteksi Ancaman VM.
Temuan
Bagian ini menjelaskan temuan ancaman dan observasi yang dihasilkan Deteksi Ancaman VM.
Penemuan ancaman
VM Threat Detection memiliki deteksi ancaman berikut.
Temuan ancaman penambangan mata uang kripto
VM Threat Detection mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.
| Kategori | Modul | Deskripsi |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Mencocokkan hash memori dari program yang berjalan dengan hash memori yang diketahui dari software penambang mata uang kripto. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Mencocokkan pola memori, seperti konstanta bukti kerja, yang diketahui digunakan oleh software penambang mata uang kripto. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Mengidentifikasi ancaman yang terdeteksi oleh
modul CRYPTOMINING_HASH dan CRYPTOMINING_YARA.
Untuk informasi selengkapnya, lihat
Deteksi gabungan.
|
Temuan ancaman rootkit mode kernel
VM Threat Detection menganalisis integritas kernel pada saat runtime untuk mendeteksi teknik pengelakan yang umum digunakan oleh malware.
Modul KERNEL_MEMORY_TAMPERING
mendeteksi ancaman dengan melakukan perbandingan hash pada
kode kernel dan memori data hanya baca kernel pada virtual machine.
Modul KERNEL_INTEGRITY_TAMPERING mendeteksi ancaman dengan memeriksa
integritas struktur data kernel yang penting.
| Kategori | Modul | Deskripsi |
|---|---|---|
| Gangguan memori kernel | ||
Defense Evasion: Unexpected kernel code modificationPratinjau
|
KERNEL_MEMORY_TAMPERING
|
Terdapat modifikasi yang tidak terduga pada memori kode kernel. |
Defense Evasion: Unexpected kernel read-only data modificationPratinjau
|
KERNEL_MEMORY_TAMPERING
|
Terdapat modifikasi yang tidak terduga pada memori data hanya baca kernel. |
| Gangguan integritas kernel | ||
Defense Evasion: Unexpected ftrace handlerPratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Titik ftrace muncul dengan callback yang menunjuk ke region yang tidak berada dalam rentang kode modul atau kernel yang diharapkan.
|
Defense Evasion: Unexpected interrupt handlerPratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Mengganggu pengendali yang tidak ada dalam region kode modul atau kernel yang diharapkan. |
Defense Evasion: Unexpected kernel modulesPratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Terdapat halaman kode kernel yang tidak berada dalam region kode modul atau kernel yang diharapkan. |
Defense Evasion: Unexpected kprobe handlerPratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Titik kprobe muncul dengan callback yang menunjuk ke region yang tidak berada dalam rentang kode modul atau kernel yang diharapkan.
|
Defense Evasion: Unexpected processes in runqueuePratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Terdapat proses yang tidak terduga dalam antrean eksekusi penjadwal. Proses tersebut berada dalam antrean run, tetapi tidak dalam daftar tugas proses. |
Defense Evasion: Unexpected system call handlerPratinjau
|
KERNEL_INTEGRITY_TAMPERING
|
Ada pengendali panggilan sistem yang tidak ada dalam region kode modul atau kernel yang diharapkan. |
| {i>Rootkit<i} | ||
Defense Evasion: RootkitPratinjau
|
|
Terdapat kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan. |
Temuan ancaman malware
VM Threat Detection mendeteksi kategori temuan berikut dengan memindai persistent disk VM untuk mendeteksi malware yang diketahui.
| Kategori | Modul | Deskripsi |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Mencocokkan tanda tangan yang digunakan oleh {i>malware<i} yang dikenal. |
Temuan observasi
VM Threat Detection menghasilkan temuan observasi berikut:
| Nama kategori | Nama API | Ringkasan | Keseriusan |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
VM Threat Detection dinonaktifkan. Sebelum Anda enable, layanan ini tidak dapat memindai project Compute Engine dan instance VM Anda untuk menemukan aplikasi yang tidak diinginkan.
Temuan ini ditetapkan ke |
Tinggi |
Batasan
VM Threat Detection mendukung instance VM Compute Engine, dengan batasan berikut:
Dukungan terbatas untuk VM Windows:
Untuk deteksi penambangan mata uang kripto, VM Threat Detection terutama berfokus pada biner Linux dan memiliki cakupan terbatas untuk penambang mata uang kripto yang berjalan di Windows.
Untuk deteksi rootkit mode kernel, yang ada di Pratinjau, Deteksi Ancaman VM hanya mendukung sistem operasi Linux.
Tidak ada dukungan untuk VM Compute Engine yang menggunakan Confidential VM. Instance Confidential VM menggunakan kriptografi untuk melindungi konten memori saat bergerak masuk dan keluar dari CPU. Dengan demikian, VM Threat Detection tidak dapat memindainya.
Batasan pemindaian disk:
Persistent disk yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan tidak didukung.
Untuk Pratinjau ini, hanya satu disk per VM yang dipindai. Hanya partisi
vfat,ext2, danext4yang dipindai.
VM Threat Detection mengharuskan Agen Layanan Pusat Keamanan dapat mencantumkan VM dalam project dan meng-clone disk ke project milik Google. Beberapa konfigurasi keamanan dan kebijakan, seperti perimeter Kontrol Layanan VPC dan batasan kebijakan organisasi, dapat mengganggu operasi tersebut. Dalam hal ini, pemindaian VM Threat Detection mungkin tidak berfungsi.
VM Threat Detection bergantung pada kemampuan hypervisor dan Compute Engine Google Cloud. Dengan demikian, VM Threat Detection tidak dapat berjalan di lingkungan lokal atau di lingkungan cloud publik lainnya.
Privasi dan keamanan
VM Threat Detection mengakses clone disk dan memori VM yang sedang berjalan untuk dianalisis. Layanan hanya menganalisis hal yang diperlukan untuk mendeteksi ancaman.
Konten memori VM dan clone disk digunakan sebagai input di pipeline analisis risiko Deteksi Ancaman VM. Data dienkripsi saat dalam pengiriman dan diproses oleh sistem otomatis. Selama pemrosesan, data dilindungi oleh sistem kontrol keamanan Google Cloud.
Untuk tujuan pemantauan dan proses debug, VM Threat Detection menyimpan informasi diagnostik dan statistik dasar tentang project yang dilindungi oleh layanan.
VM Threat Detection memindai konten memori VM dan clone disk di regionnya masing-masing. Namun, temuan dan metadata yang dihasilkan (seperti nomor project dan organisasi) mungkin disimpan di luar region tersebut.
Langkah selanjutnya
- Pelajari cara menggunakan Deteksi Ancaman VM.
- Pelajari cara menyelidiki temuan Deteksi Ancaman VM.