本頁面提供 Virtual Machine Threat Detection 總覽。
總覽
Virtual Machine Threat Detection 是 Security Command Center 的內建服務,適用於 Enterprise 和 Premium 方案。這項服務會掃描虛擬機器,偵測潛在的惡意應用程式,例如加密貨幣挖礦軟體、核心模式 Rootkit,以及在遭駭雲端環境中執行的惡意軟體。
VM 威脅偵測是 Security Command Center 威脅偵測套件的一部分,旨在輔助 Event Threat Detection 和 Container Threat Detection 的現有功能。
VM 威脅偵測發現項目是高嚴重性的威脅,建議您立即修正。您可以在 Security Command Center 查看 VM 威脅偵測發現項目。
如果機構已註冊 Security Command Center 進階方案,系統會自動啟用 VM 威脅偵測掃描。您可以視需要在專案層級停用或啟用服務。詳情請參閱「啟用或停用 VM 威脅偵測」。
VM 威脅偵測功能的運作方式
VM Threat Detection 是一項受管理服務,可掃描已啟用的 Compute Engine 專案和虛擬機器 (VM) 執行個體,偵測 VM 中執行的潛在惡意應用程式,例如加密貨幣挖礦軟體和核心模式 Rootkit。
下圖是簡化版插圖,顯示 VM 威脅偵測的分析引擎如何從 VM 客戶記憶體擷取中繼資料,並將發現項目寫入 Security Command Center。
VM 威脅偵測功能內建於 Google Cloud的管理程序,這個安全平台會建立及管理所有 Compute Engine VM。
VM 威脅偵測功能會定期從管理程序掃描執行中客體 VM 的記憶體,且不會暫停客體作業。也會定期掃描磁碟副本。由於這項服務是在訪客 VM 執行個體外部運作,因此不需要訪客代理程式或訪客作業系統的特殊設定,而且可抵禦複雜惡意軟體採用的反制措施。客層 VM 內不會使用 CPU 週期,也不需要網路連線。安全團隊不必更新簽章或管理服務。
加密貨幣挖礦偵測功能的運作方式
VM 威脅偵測功能會根據 Google Cloud的威脅偵測規則,分析 VM 上執行的軟體資訊,包括應用程式名稱清單、每個程序的 CPU 使用率、記憶體頁面的雜湊、CPU 硬體效能計數器,以及執行的機器碼資訊,判斷是否有任何應用程式符合已知的加密貨幣挖礦特徵碼。如果可以,VM 威脅偵測會判斷與偵測到的簽章相符項目相關聯的執行中程序,並在調查結果中納入該程序的相關資訊。
核心模式 Rootkit 偵測功能的運作方式
VM 威脅偵測功能會推斷 VM 上執行的作業系統類型,並使用該資訊判斷記憶體中的核心程式碼、唯讀資料區域和其他核心資料結構。VM 威脅偵測會比較這些區域與預先計算的雜湊 (核心映像檔應有的雜湊),並驗證重要核心資料結構的完整性,藉此判斷這些區域是否遭到竄改。
惡意軟體偵測功能的運作方式
VM 威脅偵測功能會建立 VM 永久磁碟的短期複製版本,不會中斷工作負載,並掃描磁碟副本。這項服務會分析 VM 上的可執行檔,判斷是否有任何檔案與已知的惡意軟體特徵相符。產生的發現項目包含檔案和偵測到的惡意軟體簽章相關資訊。
多雲端功能
除了 Google Cloud,Amazon Elastic Compute Cloud (EC2) VM 也提供惡意軟體偵測功能。
如要掃描 AWS VM,您必須是 Security Command Center Enterprise 客戶,且必須先為 AWS 啟用 VM 威脅偵測功能。
這項功能只能在機構層級啟用。掃描期間,VM 威脅偵測功能會使用 Google Cloud 和 AWS 上的資源。
掃描頻率
如果是記憶體掃描,VM 威脅偵測會在建立執行個體後,立即掃描每個 VM 執行個體。此外,VM 威脅偵測每 30 分鐘會掃描每個 VM 執行個體。
- 如要偵測加密貨幣挖礦行為,VM 威脅偵測每天會針對每個 VM 的每個程序產生一項發現項目。每個發現項目只會列出與該項目所識別程序相關的威脅。如果 VM 威脅偵測功能發現威脅,但無法將其與任何程序建立關聯,則會針對每個 VM,將所有未建立關聯的威脅歸入單一發現項目,每 24 小時產生一次。如果威脅持續超過 24 小時,VM 威脅偵測功能每 24 小時就會產生新的調查結果。
- 對於處於預先發布階段的 Kernel 模式 Rootkit 偵測功能,VM 威脅偵測每隔三天會為每個 VM 的每個類別產生一項發現項目。
為偵測已知惡意軟體,VM 威脅偵測功能會每天掃描每個 VM 執行個體,
如果您啟用 Security Command Center 進階級,系統會自動啟用 VM 威脅偵測掃描。如有需要,您可以在專案層級停用和/或啟用服務。詳情請參閱「啟用或停用 VM 威脅偵測」。
發現項目
本節說明 VM Threat Detection 產生的威脅發現。
VM 威脅偵測功能會偵測下列威脅。
加密貨幣挖礦威脅調查結果
VM 威脅偵測會透過雜湊比對或 YARA 規則,偵測下列發現項目類別。
| 類別 | 單元 | 說明 |
|---|---|---|
|
CRYPTOMINING_HASH
|
比對執行中程式的記憶體雜湊值與已知的加密貨幣挖礦軟體記憶體雜湊值。 |
|
CRYPTOMINING_YARA
|
符合記憶體模式,例如工作量證明常數,已知加密貨幣挖礦軟體會使用這類模式。 |
|
|
識別 CRYPTOMINING_HASH 和 CRYPTOMINING_YARA 模組偵測到的威脅。詳情請參閱「
合併偵測結果」。 |
核心模式 Rootkit 威脅發現項目
VM 威脅偵測會在執行階段分析核心完整性,偵測惡意軟體使用的常見規避技術。
KERNEL_MEMORY_TAMPERING 模組會比較虛擬機器的核心程式碼和核心唯讀資料記憶體的雜湊值,藉此偵測威脅。
KERNEL_INTEGRITY_TAMPERING 模組會檢查重要核心資料結構的完整性,藉此偵測威脅。
| 類別 | 單元 | 說明 |
|---|---|---|
| Rootkit | ||
|
|
系統偵測到多個信號,符合已知的核心模式 Rootkit。如要接收這類別的調查結果,請務必啟用這兩個模組。 |
| 核心記憶體竄改行為 | ||
|
KERNEL_MEMORY_TAMPERING
|
核心唯讀資料記憶體出現非預期的修改行為。 |
| 核心完整性竄改行為 | ||
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace 點,且回呼指向的區域不在預期的核心或模組程式碼範圍內。
|
|
KERNEL_INTEGRITY_TAMPERING
|
存在不在預期核心或模組程式碼區域中的中斷處理常式。 |
|
KERNEL_INTEGRITY_TAMPERING
|
存在不在預期核心或模組程式碼區域中的核心程式碼頁面。 |
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe 點,且回呼指向的區域不在預期的核心或模組程式碼範圍內。
|
|
KERNEL_INTEGRITY_TAMPERING
|
排程器執行佇列中存在非預期程序。這類程序位於執行佇列中,但不在程序工作清單中。 |
|
KERNEL_INTEGRITY_TAMPERING
|
系統呼叫處理常式不在預期的核心或模組程式碼區域中。 |
惡意軟體威脅調查結果
VM 威脅偵測功能會掃描 VM 的永久磁碟,找出已知的惡意軟體,並偵測下列類別的發現項目。
| 類別 | 單元 | 說明 | 支援的雲端服務供應商 |
|---|---|---|---|
Malware: Malicious file on disk
|
MALWARE_DISK_SCAN_YARA_AWS
|
掃描 Amazon EC2 VM 中的永久磁碟,並比對已知惡意軟體使用的簽章。 | AWS |
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
掃描 Compute Engine VM 中的永久磁碟,並比對已知惡意軟體使用的簽章。 | Google Cloud |
掃描 VPC Service Controls 範圍內的 VM
如要讓 VM Threat Detection 掃描 VPC Service Controls 範圍內的 VM,您必須在每個要掃描的範圍中新增輸入和輸出規則。詳情請參閱「允許 VM 威脅偵測存取 VPC Service Controls 服務範圍」。
限制
VM Threat Detection 支援 Compute Engine VM 執行個體,但有下列限制:
Windows VM 支援有限:
如要偵測加密貨幣挖礦活動,VM 威脅偵測主要會著重於 Linux 二進位檔,對於在 Windows 上執行的加密貨幣礦工涵蓋範圍有限。
如要偵測核心模式的 Rootkit,VM 威脅偵測功能僅支援 Linux 作業系統。
不支援使用機密 VM 的 Compute Engine VM。當資料在 CPU 內外移動時,Confidential VM 執行個體會使用密碼編譯技術保護記憶體內容。因此 VM 威脅偵測無法掃描這些磁碟。
磁碟掃描限制:
系統不支援以客戶提供的加密金鑰 (CSEK) 或客戶自行管理的加密金鑰 (CMEK) 加密的永久磁碟。
系統只會掃描
vfat、ext2和ext4分區。
VM 威脅偵測需要Security Center 服務代理,才能列出專案中的 VM,並將磁碟複製到 Google 擁有的專案。部分機構政策限制 (例如
constraints/compute.storageResourceUseRestrictions) 可能會干擾這類作業。在這種情況下,VM 威脅偵測掃描可能無法運作。VM Threat Detection 依賴 Google Cloud的 Hypervisor 和 Compute Engine 功能。因此,VM 威脅偵測無法在內部部署環境或其他公有雲環境中執行。
隱私權與安全性
VM 威脅偵測會存取執行中 VM 的磁碟副本和記憶體,以進行分析。這項服務只會分析偵測威脅所需的內容。
VM 記憶體和磁碟複製內容會做為 VM 威脅偵測風險分析管道的輸入內容。資料在傳輸過程中會加密,並由自動化系統處理。在處理期間,資料會受到 Google Cloud的安全控管系統保護。
為利於監控和偵錯,虛擬機器威脅偵測會儲存服務保護專案的基本診斷和統計資訊。
VM 威脅偵測功能會掃描各自區域中的 VM 記憶體內容和磁碟副本。不過,產生的調查結果和中繼資料 (例如專案和機構編號) 可能會儲存在這些區域以外的位置。
後續步驟
- 瞭解如何使用 VM 威脅偵測功能。
- 瞭解如何為 AWS 啟用虛擬機器威脅偵測。
- 瞭解如何調查 VM 威脅偵測結果。
- 瞭解如何允許 VM Threat Detection 掃描 VPC Service Controls 邊界中的 VM。
- 瞭解如何檢查 VM 是否有核心記憶體遭竄改的跡象。