防护规避:意外的内核只读数据修改

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

内核只读数据内存存在意外修改行为。

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开发现结果。 系统会打开发现结果详细信息面板,以显示摘要标签页。

  2. 摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:

      • 内核 rootkit 名称:检测到的 rootkit 的系列名称,例如 Diamorphine
      • 意外的内核代码页面:内核代码页面是否位于预期之外的内核或模块代码区域。
      • 意外的系统调用处理程序:系统调用处理程序是否位于预期之外的内核或模块代码区域。

    • 受影响的资源,尤其是以下字段:

      • 资源全名:受影响的虚拟机实例的完整资源名称,其中包括该实例所在的项目的 ID。

  3. 如需查看此发现结果的完整 JSON,请在发现结果的详情视图中点击 JSON 标签页。

第 2 步:检查日志

  1. 在 Google Cloud 控制台中,前往 Logs Explorer

    前往 Logs Explorer

  2. 在 Google Cloud 控制台工具栏中,选择包含发现结果详细信息摘要标签页上资源全名行中指定的虚拟机实例的项目。

  3. 查看日志,了解受影响虚拟机实例是否存在入侵迹象。例如,检查是否存在可疑或未知的活动以及凭证被盗用的迹象。

第 3 步:查看权限和设置

  1. 在发现结果详细信息摘要标签页的资源全名字段中,点击链接。
  2. 查看虚拟机实例的详细信息,包括网络和访问权限设置。

第 4 步:检查受影响的虚拟机

按照检查虚拟机是否有内核内存篡改迹象中的说明操作。

第 5 步:研究攻击和响应方法

  1. 查看防护规避的 MITRE ATT&CK 框架条目。
  2. 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。

第 6 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

  1. 联系该虚拟机的所有者。

  2. 如有必要,请停止已被破解的实例并用新实例取代。

  3. 如需进行取证分析,请考虑备份虚拟机和永久性磁盘。如需了解详情,请参阅 Compute Engine 文档中的数据保护选项

  4. 删除虚拟机实例。

  5. 如需进一步调查,请考虑使用 Mandiant 等突发事件响应服务。

后续步骤