Descripción general de Virtual Machine Threat Detection

En esta página, se proporciona una descripción general de Virtual Machine Threat Detection.

Descripción general

Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, brinda Detección de amenazas a través de instrumentación a nivel de hipervisor y disco persistente de análisis de datos en la nube. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como las siguientes: software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecuta en en entornos de nube comprometidos.

VM Threat Detection forma parte de la detección de amenazas de Security Command Center Premium y está diseñado para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Los resultados de VM Threat Detection son amenazas graves que te recomendamos corregir de inmediato. Puedes ver los hallazgos de VM Threat Detection en Security Command Center.

Para las organizaciones inscritas en Security Command Center Premium, Los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.

Cómo funciona VM Threat Detection

VM Threat Detection es un servicio administrado que analiza las instancias habilitadas de Compute Engine proyectos e instancias de máquina virtual (VM) para detectar aplicaciones potencialmente maliciosas que se ejecutan en VMs, como el software de minería de criptomonedas y los rootkits en modo kernel.

En la siguiente figura, se muestra una ilustración simplificada que muestra cómo el motor de análisis de VM Threat Detection transfiere metadatos de la memoria de invitado de la VM y escribe los resultados en Security Command Center.

Ruta de datos simplificada para Virtual Machine Threat Detection
Ruta de acceso de datos simplificada para Virtual Machine Threat Detection

VM Threat Detection está incorporada en el hipervisor de Google Cloud, una plataforma segura que crea y administra todas las VM de Compute Engine.

VM Threat Detection realiza análisis periódicamente desde el hipervisor hasta el memoria de una VM invitada en ejecución sin pausar su operación. También analiza las clonaciones de discos de forma periódica. Debido a que este servicio opera desde fuera instancia de VM invitada, no requiere agentes invitados ni configuración especial de el sistema operativo invitado y es resistente a las contramedidas que utilizan de software malicioso sofisticado. No se usan ciclos de CPU dentro de la VM invitada y la red no se requiere conectividad. Los equipos de seguridad no necesitan actualizar firmas administrar el servicio.

Cómo funciona la detección de minería de criptomonedas

Con la tecnología de las reglas de detección de amenazas de VM, la detección información sobre el software que se ejecuta en VMs, incluida una lista de aplicaciones nombres, uso de CPU por proceso, hashes de páginas de memoria, rendimiento del hardware de la CPU contadores de estado de datos e información sobre el código máquina ejecutado para determinar si cualquier aplicación coincide con firmas conocidas de minería de criptomonedas. Cuando sea posible, Virtual Machine Threat Detection determina el proceso en ejecución asociado con la firma detectada y coincide con la información sobre ese proceso en el resultado.

Cómo funciona la detección de rootkit en modo kernel

VM Threat Detection infiere el tipo de sistema operativo que se ejecuta en la VM y usa esa información para determinar el código del kernel, las regiones de datos de solo lectura y otras estructuras de datos del kernel en la memoria. VM Threat Detection aplica varias técnicas para determinar si esas regiones fueron manipuladas, comparándolas con hash procesados previamente que se esperan para la imagen del kernel y verificar la para la integridad de estructuras de datos de kernel importantes.

Cómo funciona la detección de software malicioso

VM Threat Detection toma clones de corta duración del disco persistente de tu VM, sin interrumpir las cargas de trabajo y analiza las clonaciones de discos. Este servicio analiza los archivos ejecutables en la VM para determinar si alguno coincide con los archivos las firmas de software malicioso. El hallazgo generado contiene información sobre el archivo y las firmas de malware detectadas.

Frecuencia de búsqueda

En el caso del análisis de memoria, VM Threat Detection analiza cada instancia de VM inmediatamente después de su creación. Además, VM Threat Detection analiza cada instancia de VM cada 30 minutos.

  • Para la detección de minería de criptomonedas, VM Threat Detection genera un resultado por proceso, por VM y por día. Cada hallazgo incluye solo las amenazas asociadas con el proceso identificado por el hallazgo. Si VM Threat Detection encuentra amenazas, pero no puede asociarla con cualquier proceso, luego, para cada VM, VM Threat Detection agrupa todas las amenazas no asociadas en un único hallazgo que emite una vez cada 24 horas. Para las amenazas que duran más de 24 horas, VM Threat Detection genera nuevos hallazgos una vez cada 24 horas.
  • En el caso de la detección de rootkits en modo kernel, que está en versión preliminar, VM Threat Detection genera un hallazgo por categoría y por VM cada tres días.

Para el análisis de disco persistente, que detecta la presencia de software malicioso conocido, VM Threat Detection analiza cada instancia de VM al menos a diario.

Si activas el nivel Premium de Security Command Center, Los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel de proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.

Resultados

Esta sección describe los hallazgos de amenazas y observaciones que que genera la detección de amenazas de VM.

Hallazgos de amenazas

VM Threat Detection incluye las siguientes detecciones de amenazas.

Hallazgos de amenazas de minería de criptomonedas

VM Threat Detection detecta las siguientes categorías de hallazgos a través de la coincidencia de hash o las reglas YARA.

Resultados de amenazas de minería de criptomonedas de VM Threat Detection
Categoría Módulo Descripción
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Identifica una amenaza que fue detectada por ambos Módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA Para obtener más información, consulta Detecciones combinadas.

Hallazgos de amenazas de rootkit en modo kernel

VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa software malicioso.

El KERNEL_MEMORY_TAMPERING de seguridad detecta amenazas a través de una comparación de hash en el código y la memoria de datos de solo lectura de kernel de una máquina virtual.

El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas verificando la integridad de estructuras importantes de datos del kernel.

Hallazgos de amenazas de rootkit en modo kernel de la detección de amenazas de VM
Categoría Módulo Descripción
Manipulación de la memoria del kernel
Defense Evasion: Unexpected kernel code modificationVersión preliminar KERNEL_MEMORY_TAMPERING Hay modificaciones inesperadas de la memoria del código del kernel.
Defense Evasion: Unexpected kernel read-only data modificationVista previa KERNEL_MEMORY_TAMPERING Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel.
Manipulación de la integridad del kernel
Defense Evasion: Unexpected ftrace handlerVista previa KERNEL_INTEGRITY_TAMPERING Los puntos ftrace están presentes con devoluciones de llamada que apuntan a regiones que no están en el kernel o el rango de código de módulo esperados.
Defense Evasion: Unexpected interrupt handlerVista previa KERNEL_INTEGRITY_TAMPERING Interrumpe los controladores que no estén presentes en las regiones esperadas de código de kernel o módulo.
Defense Evasion: Unexpected kernel modulesVista previa KERNEL_INTEGRITY_TAMPERING Están presentes las páginas de código de kernel que no se encuentran en las regiones esperadas de código de kernel o módulo.
Defense Evasion: Unexpected kprobe handlerVista previa KERNEL_INTEGRITY_TAMPERING Hay puntos kprobe con devoluciones de llamada que apuntan a regiones que no están en el rango de código esperado del kernel o del módulo.
Defense Evasion: Unexpected processes in runqueueVista previa KERNEL_INTEGRITY_TAMPERING Hay procesos inesperados en la cola de ejecución del programador. Estos procesos se encuentran en la fila de ejecución, pero no en la lista de tareas del proceso.
Defense Evasion: Unexpected system call handlerVista previa KERNEL_INTEGRITY_TAMPERING Hay controladores de llamadas del sistema que no están en las regiones de código del kernel o del módulo esperadas.
Rootkit
Defense Evasion: RootkitVista previa
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Existe una combinación de señales que coinciden con un rootkit de modo de kernel conocido. Para recibir hallazgos de esta categoría, asegúrate de que ambos módulos estén habilitados.

Hallazgos de amenazas de software malicioso

VM Threat Detection detecta las siguientes categorías de hallazgos a través del análisis del disco persistente de una VM. para detectar software malicioso conocido.

Hallazgos de amenazas de software malicioso en la Detección de amenazas de VM
Categoría Módulo Descripción
Malware: Malicious file on disk (YARA) MALWARE_DISK_SCAN_YARA Coincide con las firmas que usa el software malicioso conocido.

Hallazgo de observación

VM Threat Detection genera los siguientes resultados de observación:

Resultado de la observación de VM Threat Detection
Nombre de categoría Nombre de la API Resumen Gravedad
VMTD disabled VMTD_DISABLED

La Detección de amenazas de VM está inhabilitada. Hasta que lo habilites, este servicio no podrá analizar tus instancias de VM ni proyectos de Compute Engine en busca de aplicaciones no deseadas.

Este resultado se establece en INACTIVE después de 30 días. Después de eso, este hallazgo no se vuelve a generar.

Alta

Limitaciones

VM Threat Detection admite instancias de VM de Compute Engine, con las siguientes limitaciones:

  • Compatibilidad limitada para las VM de Windows:

    • Para la detección de minería de criptomonedas, VM Threat Detection se enfoca principalmente en binarios de Linux y tiene cobertura limitada de mineros de criptomonedas que en Windows.

    • En el caso de la detección de rootkits en modo kernel, que está en versión preliminar, VM Threat Detection solo es compatible con sistemas operativos Linux.

  • No es compatible con las VM de Compute Engine que usan Confidential VM. Las instancias de Confidential VM usan criptografía para proteger el contenido de la memoria a medida que entra y sale de la CPU. Por lo tanto, VM Threat Detection no puede analizarlas.

  • Limitaciones del análisis de discos:

  • VM Threat Detection requiere el servicio del centro de seguridad Agente puede enumerar las VMs en los proyectos y clonar los discos para almacenarlos proyectos. Algunas configuraciones de seguridad y políticas, como los Controles del servicio de VPC perímetros de servicio y la política de la organización adicionales, pueden interferir en esas operaciones. En este caso, es posible que el análisis de VM Threat Detection no funcione.

  • VM Threat Detection se basa en las capacidades de la infraestructura de Google Cloud hipervisor y Compute Engine. Por lo tanto, VM Threat Detection no puede ejecutarse en entornos locales o de otras nubes públicas.

Privacidad y seguridad

VM Threat Detection accede a los clones de discos y la memoria de una VM en ejecución para de análisis de datos en la nube. El servicio solo analiza lo que es necesario para detectar amenazas.

El contenido de la memoria de la VM y los clones de discos se usan como entradas en Canalización de análisis de riesgos de VM Threat Detection. Los datos se encriptan en tránsito y y procesada por sistemas automatizados. Durante el procesamiento, los datos están protegidos por los sistemas de control de seguridad de Google Cloud.

Para fines de supervisión y depuración, VM Threat Detection almacena información estadística y de diagnóstico básica sobre los proyectos que protege el servicio.

VM Threat Detection analiza el contenido de la memoria de la VM y los clones de discos en su regiones respectivas. Sin embargo, los resultados y los metadatos resultantes (como los números de proyecto y organización) pueden almacenarse fuera de esas regiones.

¿Qué sigue?