規避防禦機制：非預期的系統呼叫處理常式

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

存在非預期的核心或模組程式碼區域中的系統呼叫處理常式。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看發現項目」一文中的指示開啟發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，尤其是下列欄位：

     • 核心 Rootkit 名稱：偵測到的 Rootkit 系列名稱，例如 Diamorphine。
     • 非預期的核心程式碼頁面：核心或模組程式碼區域中是否出現非預期的核心程式碼頁面。
     • 非預期的系統呼叫處理常式：系統呼叫處理常式是否出現在不應出現的核心或模組程式碼區域。

   • 受影響的資源，尤其是下列欄位：

     • 資源完整名稱：受影響 VM 執行個體的完整資源名稱，包括所屬專案的 ID。

3. 如要查看這項發現的完整 JSON，請在發現的詳細資料檢視畫面中，按一下「JSON」分頁標籤。

步驟 2：檢查記錄

1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

   前往記錄檔探索工具

2. 在 Google Cloud 控制台工具列中，選取包含 VM 執行個體的專案，如發現詳細資料的「Summary」(摘要) 分頁中「Resource full name」(資源全名) 列所指定。

3. 檢查記錄檔，瞭解受影響的 VM 執行個體是否有入侵跡象。例如，檢查是否有可疑或不明活動，以及憑證遭盜用的跡象。

步驟 3：檢查權限和設定

1. 在調查結果詳細資料的「摘要」分頁中，點選「資源完整名稱」欄位中的連結。
2. 查看 VM 執行個體的詳細資料，包括網路和存取權設定。

步驟 4：檢查受影響的 VM

按照「檢查 VM 是否有核心記憶體遭竄改的跡象」一文中的操作說明進行。

步驟 5：研究攻擊和回應方法

1. 查看「規避防禦措施」的 MITRE ATT&CK 架構項目。
2. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

步驟 6：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

1. 與 VM 擁有者聯絡。

2. 如有必要，請停止遭入侵的執行個體，並換成新的執行個體。

3. 如要進行鑑識分析，請考慮備份虛擬機器和永久磁碟。詳情請參閱 Compute Engine 說明文件中的資料保護選項。

4. 刪除 VM 執行個體。

5. 如要進一步調查，請考慮使用事件應變服務，例如 Mandiant。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。