Virtual Machine Threat Detection – Übersicht

Auf dieser Seite erhalten Sie eine Übersicht über Virtual Machine Threat Detection.

Übersicht

Virtual Machine Threat Detection ist ein integrierter Dienst von Security Command Center, der in den Enterprise- und Premium-Stufen verfügbar ist. Dieser Dienst scannt Compute Engine-Instanzen, um potenziell schädliche Anwendungen wie Kryptowährung-Mining-Software, Rootkits im Kernelmodus und Malware zu erkennen, die in manipulierten Cloud-Umgebungen ausgeführt werden.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

VM Threat Detection-Ergebnisse stellen Bedrohungen mit hohem Schweregrad dar, die Sie sofort beheben müssen. VM Threat Detection-Ergebnisse können im Security Command Center abgerufen werden.

Für Organisationen, die für das Security Command Center Premium registriert sind, werden VM-Bedrohungserkennungsscans automatisch aktiviert. Bei Bedarf können Sie den Dienst auf Projektebene deaktivieren oder aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.

Funktionsweise von VM Threat Detection

VM Threat Detection ist ein verwalteter Dienst, der aktivierte Compute Engine-Projekte und VM-Instanzen scannt, um potenziell schädliche Anwendungen zu erkennen, die in VMs ausgeführt werden, z. B. Kryptowährung-Mining-Software und Rootkits im Kernelmodus.

Folgende vereinfachte Abbildung zeigt, wie das Analysemodul von VM Threat Detection Metadaten aus dem VM-Gastspeicher aufnimmt und Ergebnisse in Security Command Center schreibt.

Vereinfachter Datenpfad für die Virtual Machine Threat Detection
Vereinfachter Datenpfad für die Virtual Machine Threat Detection

Die VM Threat Detection ist in den Hypervisor von Google Cloud eingebunden, eine sichere Plattform, die alle Compute Engine-VMs erstellt und verwaltet.

VM Threat Detection führt regelmäßig Scans vom Hypervisor in den Arbeitsspeicher einer laufenden Gast-VM aus, ohne die Aktivitäten des Gastes zu unterbrechen. Außerdem werden Laufwerkskopien regelmäßig gescannt. Da dieser Dienst von außerhalb der Gast-VM-Instanz ausgeführt wird, erfordert er keine Gast-Agents oder spezielle Konfigurationen des Gastbetriebssystems und ist für die von ausgefeilter Malware benutzten Gegenmaßnahmen unanfällig. Innerhalb der Gast-VM werden keine CPU-Zyklen verbraucht und eine Netzwerkverbindung ist nicht erforderlich. Sicherheitsteams müssen weder Signaturen aktualisieren noch den Dienst verwalten.

Funktionsweise der Erkennung von Kryptowährungs-Mining

Die VM Threat Detection nutzt die Bedrohungserkennungsregeln von Google Cloud, um Informationen zu Software zu analysieren, die auf VMs ausgeführt wird. Dazu gehören eine Liste der Anwendungsnamen, die CPU-Nutzung pro Prozess, Hashes von Arbeitsspeicherseiten, CPU-Hardwareleistungszähler und Informationen zum ausgeführten Maschinencode. So wird ermittelt, ob eine Anwendung mit bekannten Signaturen für das Mining von Kryptowährungen übereinstimmt. Wenn möglich, ermittelt VM Threat Detection dann den laufenden Prozess, der mit den erkannten Signaturen übereinstimmt, und fügt Informationen zu diesem Prozess im Ergebnis hinzu.

Funktionsweise der Rootkit-Erkennung im Kernelmodus

VM Threat Detection ermittelt den Typ des Betriebssystems, das auf der VM ausgeführt wird, und verwendet diese Informationen, um den Kernelcode, schreibgeschützte Datenbereiche und andere Kerneldatenstrukturen im Arbeitsspeicher zu bestimmen. VM Threat Detection verwendet verschiedene Verfahren, um festzustellen, ob diese Regionen manipuliert wurden. Dazu werden sie mit vorab berechneten Hash-Werten verglichen, die für das Kernel-Image erwartet werden, und die Integrität wichtiger Kernel-Datenstrukturen wird überprüft.

Funktionsweise der Malware-Erkennung

Die VM-Gefahrenerkennung erstellt kurzlebige Klone des nichtflüchtigen Speichers Ihrer VM, ohne Ihre Arbeitslasten zu beeinträchtigen, und scannt die Laufwerkskopien. Dieser Dienst analysiert ausführbare Dateien auf der VM, um festzustellen, ob Dateien mit bekannten Malware-Signaturen übereinstimmen. Der generierte Befund enthält Informationen zur Datei und zu den erkannten Malware-Signaturen.

Scanhäufigkeit

Beim Speicherscan scannt VM Threat Detection jede VM-Instanz unmittelbar nach dem Erstellen der Instanz. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.

  • Bei der Erkennung von Kryptowährung-Mining generiert VM Threat Detection ein Ergebnis pro Prozess, VM und Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verbunden sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie jedoch keinem Prozess zuordnen kann, fasst VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in einem einzigen Ergebnis zusammen, das jeweils einmal innerhalb eines Zeitraums von 24 Stunden ausgeführt wird. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
  • Bei der Erkennung von Rootkits im Kernelmodus, die sich derzeit in der Vorabversion befindet, generiert VM Threat Detection alle drei Tage ein Ergebnis pro Kategorie und VM.

Beim Scannen von nichtflüchtigen Laufwerken, bei dem bekannte Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens einmal täglich.

Wenn Sie die Premium-Stufe von Security Command Center aktivieren, werden VM-Bedrohungserkennungsscans automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren und/oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.

Ergebnisse

In diesem Abschnitt werden die Bedrohungsergebnisse beschrieben, die von VM Threat Detection generiert werden.

VM Threat Detection bietet die folgenden Bedrohungserkennungen.

Ergebnisse zu Bedrohungen durch Kryptowährungs-Mining

VM Threat Detection erkennt die folgenden Ergebniskategorien durch Hash-Abgleich oder YARA-Regeln.

Ergebnisse der VM Threat Detection für Bedrohungen durch Kryptowährungs-Mining
Kategorie Modul Beschreibung
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen von Kryptowährungs-Mining-Software verwendet werden.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Eine Bedrohung, die sowohl vom CRYPTOMINING_HASH- als auch vom CRYPTOMINING_YARA-Modul erkannt wurde. Weitere Informationen finden Sie unter Kombinierte Erkennungen.

Ergebnisse zur Bedrohung durch Rootkits im Kernelmodus

VM Threat Detection analysiert die Kernelintegrität zur Laufzeit, um gängige Ausweichtechniken zu erkennen, die von Malware verwendet werden.

Das KERNEL_MEMORY_TAMPERING-Modul erkennt Bedrohungen durch einen Hash-Vergleich des Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine.

Das KERNEL_INTEGRITY_TAMPERING-Modul erkennt Bedrohungen, indem die Integrität wichtiger Kernel-Datenstrukturen geprüft wird.

Ergebnisse der VM Threat Detection für Rootkit-Bedrohungen im Kernelmodus
Kategorie Modul Beschreibung
Rootkit
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Es ist eine Kombination von Signalen vorhanden, die einem bekannten Kernel-Modus-Rootkit entsprechen. Damit Sie Ergebnisse dieser Kategorie erhalten, müssen beide Module aktiviert sein.
Manipulation des Kernel-Arbeitsspeichers
Defense Evasion: Unexpected kernel code modificationVorschau KERNEL_MEMORY_TAMPERING Es gibt unerwartete Änderungen am Kernel-Code-Speicher.
Defense Evasion: Unexpected kernel read-only data modificationVorschau KERNEL_MEMORY_TAMPERING Es gibt unerwartete Änderungen am schreibgeschützten Datenspeicher des Kernels.
Manipulation der Kernel-Integrität
Defense Evasion: Unexpected ftrace handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind ftrace Punkte mit Rückrufen vorhanden, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
Defense Evasion: Unexpected interrupt handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind Interrupt-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.
Defense Evasion: Unexpected kernel modulesVorschau KERNEL_INTEGRITY_TAMPERING Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcoderegionen befinden.
Defense Evasion: Unexpected kprobe handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind kprobe Punkte mit Rückrufen vorhanden, die auf Regionen verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen.
Defense Evasion: Unexpected processes in runqueueVorschau KERNEL_INTEGRITY_TAMPERING Es sind unerwartete Prozesse in der Ausführungswarteschlange des Schedulers vorhanden. Diese Prozesse befinden sich in der Ausführungswarteschlange, aber nicht in der Liste der Prozessaufgaben.
Defense Evasion: Unexpected system call handlerVorschau KERNEL_INTEGRITY_TAMPERING Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden.

Ergebnisse zu Malware-Bedrohungen

VM Threat Detection erkennt die folgenden Ergebniskategorien, indem der nichtflüchtige Speicher einer VM auf bekannte Malware gescannt wird.

Malware-Bedrohungsergebnisse von VM Threat Detection
Kategorie Modul Beschreibung
Malware: Malicious file on disk (YARA) MALWARE_DISK_SCAN_YARA Prüft Übereinstimmung mit Signaturen, die von bekannter Malware verwendet werden.

Beschränkungen

VM Threat Detection unterstützt Compute Engine-VM-Instanzen mit den folgenden Einschränkungen:

  • Eingeschränkter Support für Windows-VMs:

    • Bei der Erkennung von Kryptowährung-Mining konzentriert sich VM Threat Detection hauptsächlich auf Linux-Binärdateien. Kryptowährungs-Miner, die unter Windows ausgeführt werden, werden nur in Grenzen abgedeckt.

    • Für die Rootkit-Erkennung im Kernelmodus wird von VM Threat Detection nur Linux unterstützt.

  • Keine Unterstützung für Compute Engine-VMs, die Confidential VM verwenden. Confidential VM-Instanzen verwenden Kryptografie, um den Inhalt des Speichers zu schützen, wenn er in und aus der CPU verschoben wird. Daher kann VM Threat Detection sie nicht scannen.

  • Einschränkungen beim Laufwerksscan:

  • Für die VM Threat Detection muss der Security Center Service Agent die VMs in den Projekten auflisten und die Laufwerke in Google-eigenen Projekten klonen können. Einige Sicherheits- und Richtlinienkonfigurationen, z. B. VPC Service Controls-Perimeter und Einschränkungen von Organisationsrichtlinien, können solche Vorgänge beeinträchtigen. In diesem Fall funktioniert der Scan von VM Threat Detection möglicherweise nicht.

  • VM Threat Detection nutzt die Funktionen des Hypervisors und der Compute Engine von Google Cloud. Daher kann VM Threat Detection nicht in lokalen Umgebungen oder in anderen öffentlichen Cloud-Umgebungen ausgeführt werden.

Datenschutz und Sicherheit

VM Threat Detection greift zur Analyse auf die Laufwerkskopien und den Arbeitsspeicher einer laufenden VM zu. Der Dienst analysiert nur das, was zur Erkennung von Bedrohungen erforderlich ist.

Der Inhalt des VM-Speichers und der Laufwerkskopien werden als Eingaben in der Risikoanalysepipeline von VM Threat Detection verwendet. Die Daten werden während der Übertragung verschlüsselt und von automatisierten Systemen verarbeitet. Während der Verarbeitung werden die Daten durch die Sicherheitskontrollsysteme von Google Cloud geschützt.

Zu Monitoring- und Debugging-Zwecken speichert VM Threat Detection grundlegende Diagnose- und statistische Informationen zu Projekten, die der Dienst schützt.

VM Threat Detection scannt den VM-Speicherinhalt und Laufwerkklone in ihren jeweiligen Regionen. Die resultierenden Ergebnisse und Metadaten (z. B. Projekt- und Organisationsnummern) können jedoch außerhalb dieser Regionen gespeichert werden.

Nächste Schritte