Penghindaran Pertahanan: Modifikasi data hanya baca kernel yang tidak terduga

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Modifikasi yang tidak terduga pada memori data hanya baca kernel terjadi.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Temuan terbuka, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:

     • Nama rootkit kernel: nama keluarga rootkit yang terdeteksi—misalnya, Diamorphine.
     • Halaman kode kernel yang tidak terduga: apakah halaman kode kernel ada di wilayah kode kernel atau modul yang tidak diharapkan.
     • Pengendali panggilan sistem yang tidak terduga: apakah pengendali panggilan sistem ada di area kode kernel atau modul yang tidak seharusnya.

   • Resource yang terpengaruh, terutama kolom berikut:

     • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.

3. Untuk melihat JSON lengkap temuan ini, di tampilan detail temuan, klik tab JSON.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang berisi instance VM, seperti yang ditentukan di baris Nama lengkap resource di tab Ringkasan pada detail temuan.

3. Periksa log untuk melihat tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Langkah 3: Tinjau izin dan setelan

1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Periksa VM yang terpengaruh

Ikuti petunjuk di bagian Periksa tanda-tanda manipulasi memori kernel pada VM.

Langkah 5: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk Penghindaran Pertahanan (Defense Evasion).
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Hubungi pemilik VM.

2. Jika perlu, hentikan instance yang terkompromi dan ganti dengan instance baru.

3. Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.

4. Hapus instance VM.

5. Untuk penyelidikan lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.