Evasión de defensas: modificación inesperada de datos de solo lectura del kernel
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Se han detectado modificaciones inesperadas en la memoria de datos de solo lectura del kernel.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
Abre el resultado, tal como se indica en Revisar los resultados.
Se abre el panel de detalles del resultado en la pestaña Resumen.
En la pestaña Resumen, consulte la información de las siguientes secciones:
Qué se detectó, especialmente los siguientes campos:
Nombre del rootkit de kernel: el nombre de la familia del rootkit que se ha detectado (por ejemplo, Diamorphine).
Páginas de código de kernel inesperadas: si hay páginas de código de kernel en regiones de código de kernel o de módulo en las que no se esperan.
Controlador de llamada de sistema inesperado: si los controladores de llamadas de sistema están presentes en regiones de código de kernel o de módulo en las que no se esperan.
Recurso afectado, especialmente el siguiente campo:
Nombre completo del recurso: el nombre completo del recurso de la instancia de VM afectada, incluido el ID del proyecto que la contiene.
Para ver el JSON completo de este resultado, en la vista de detalles del resultado, haga clic en la pestaña JSON.
Paso 2: Consulta los registros
En la Google Cloud consola, ve a Explorador de registros.
En la barra de herramientas de la Google Cloud consola, seleccione el proyecto que contiene la instancia de VM, tal como se especifica en la fila Nombre completo del recurso de la pestaña Resumen de los detalles de la detección.
Consulta los registros para detectar signos de intrusión en la instancia de VM afectada. Por ejemplo, comprueba si hay actividades sospechosas o desconocidas y si hay indicios de que las credenciales se han visto comprometidas.
Paso 3: Revisa los permisos y la configuración
En la pestaña Resumen de los detalles de la detección, haga clic en el enlace del campo Nombre completo del recurso.
Revisa los detalles de la instancia de VM, incluidos los ajustes de red y acceso.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
Paso 6: Implementa tu respuesta
El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones.
Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.
Ponte en contacto con el propietario de la máquina virtual.
Para realizar análisis forenses, considera la posibilidad de crear copias de seguridad de las máquinas virtuales y los discos persistentes. Para obtener más información, consulta las opciones de protección de datos en la documentación de Compute Engine.
Elimina la instancia de VM.
Para investigar más a fondo, puedes usar servicios de respuesta a incidentes como Mandiant.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nUnexpected modifications of kernel read-only data memory are present.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open finding, as directed\n in [Review findings](/security-command-center/docs/how-to-use-vm-threat-detection#findings-vmtd).\n The details panel for the finding opens to the **Summary** tab.\n\n2. On the **Summary** tab, review the information in the following sections:\n\n - **What was detected**, especially the following fields:\n\n - **Kernel rootkit name** : the family name of the rootkit that was detected---for example, `Diamorphine`.\n - **Unexpected kernel code pages**: whether kernel code pages are present in kernel or module code regions where they aren't expected.\n - **Unexpected system call handler**: whether system call handlers are present in kernel or module code regions where they aren't expected.\n - **Affected resource**, especially the following field:\n\n - **Resource full name**: the full resource name of the affected VM instance, including the ID of the project that contains it.\n3. To see the complete JSON for this finding, in the detail view of\n the finding, click the **JSON** tab.\n\nStep 2: Check logs\n\n1. In the Google Cloud console, go to **Logs Explorer**.\n\n [Go to Logs Explorer](https://console.cloud.google.com/logs/query)\n2. On the Google Cloud console toolbar, select the project that contains\n the VM instance, as specified on the **Resource full name** row in\n the **Summary** tab of the finding details.\n\n3. Check the logs for signs of intrusion on the affected VM instance. For\n example, check for suspicious or unknown activities and signs of\n [compromised credentials](/security/compromised-credentials).\n\nStep 3: Review permissions and settings\n\n1. On the **Summary** tab of the finding details, in the **Resource full\n name** field, click the link.\n2. Review the details of the VM instance, including the network and access settings.\n\nStep 4: Inspect the affected VM\n\nFollow the instructions in [Inspect a VM for signs of kernel memory\ntampering](/security-command-center/docs/investigate-vmtd-kernel-tampering-findings).\n\nStep 5: Research attack and response methods\n\n1. Review MITRE ATT\\&CK framework entries for [Defense Evasion](https://attack.mitre.org/tactics/TA0005/).\n2. To develop a response plan, combine your investigation results with MITRE research.\n\nStep 6: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n1. Contact the owner of the VM.\n\n2. If necessary, [stop the compromised\n instance](/compute/docs/instances/stop-start-instance) and replace it with a\n new instance.\n\n3. For forensic analysis, consider backing up the virtual machines and\n persistent disks. For more information, see [Data protection\n options](/compute/docs/disks/data-protection) in the Compute Engine\n documentation.\n\n4. Delete the VM instance.\n\n5. For further investigation, consider using incident response services like\n [Mandiant](/security/consulting/mandiant-incident-response-services).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
