Evasione della difesa: modifica imprevista dei dati di sola lettura del kernel

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Sono presenti modifiche impreviste alla memoria dei dati di sola lettura del kernel.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri il risultato come indicato in Esamina i risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

  2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:

      • Nome rootkit kernel: il nome della famiglia del rootkit rilevato, ad esempio Diamorphine.
      • Pagine di codice del kernel impreviste: indica se le pagine di codice del kernel sono presenti nelle regioni di codice del kernel o del modulo in cui non sono previste.
      • Gestore chiamate di sistema impreviste: indica se i gestori chiamate di sistema sono presenti nelle regioni di codice del kernel o del modulo in cui non sono previsti.

    • Risorsa interessata, in particolare il seguente campo:

      • Nome completo della risorsa: il nome completo della risorsa dell'istanza VM interessata, incluso l'ID del progetto che la contiene.

  3. Per visualizzare il JSON completo di questo risultato, fai clic sulla scheda JSON nella visualizzazione dettagliata del risultato.

Passaggio 2: controlla i log

  1. Nella console Google Cloud , vai a Esplora log.

    Vai a Esplora log

  2. Nella barra degli strumenti della console Google Cloud , seleziona il progetto che contiene l'istanza VM, come specificato nella riga Nome completo risorsa della scheda Riepilogo dei dettagli del problema.

  3. Controlla i log per rilevare segni di intrusione nell'istanza VM interessata. Ad esempio, controlla la presenza di attività sospette o sconosciute e segni di credenziali compromesse.

Passaggio 3: esamina le autorizzazioni e le impostazioni

  1. Nella scheda Riepilogo dei dettagli del risultato, fai clic sul link nel campo Nome completo della risorsa.
  2. Esamina i dettagli dell'istanza VM, incluse le impostazioni di rete e accesso.

Passaggio 4: ispeziona la VM interessata

Segui le istruzioni riportate in Ispezionare una VM per rilevare segni di manomissione della memoria del kernel.

Passaggio 5: ricerca di metodi di attacco e risposta

  1. Esamina le voci del framework MITRE ATT&CK per Evasione della difesa.
  2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 6: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

  1. Contatta il proprietario della VM.

  2. Se necessario, interrompi l'istanza compromessa e sostituiscila con una nuova istanza.

  3. Per l'analisi forense, valuta la possibilità di eseguire il backup delle macchine virtuali e dei dischi permanenti. Per saperne di più, consulta Opzioni di protezione dei dati nella documentazione di Compute Engine.

  4. Elimina l'istanza VM.

  5. Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.

Passaggi successivi