En esta página, se proporciona una descripción general de Virtual Machine Threat Detection.
Descripción general
Virtual Machine Threat Detection es un servicio integrado de Security Command Center. Este analiza las máquinas virtuales para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecuta en entornos de nube vulnerados.
VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center y está diseñado para complementar las capacidades actuales de Event Threat Detection y Container Threat Detection.
Los resultados de VM Threat Detection son amenazas graves que te recomendamos corregir de inmediato. Puedes ver los hallazgos de VM Threat Detection en Security Command Center.
Para las organizaciones inscritas en Security Command Center Premium, los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel del proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.
Cómo funciona VM Threat Detection
VM Threat Detection es un servicio administrado que analiza proyectos habilitados de Compute Engine y las instancias de máquina virtual (VM) para detectar aplicaciones potencialmente maliciosas que se ejecutan en VMs, como software de minería de criptomonedas y rootkits en modo kernel.
En la siguiente figura, se muestra una ilustración simplificada que muestra cómo el motor de análisis de VM Threat Detection transfiere metadatos de la memoria de invitado de la VM y escribe los resultados en Security Command Center.
VM Threat Detection está incorporada en el hipervisor de Google Cloud, una plataforma segura que crea y administra todas las VMs de Compute Engine.
VM Threat Detection realiza análisis de forma periódica desde el hipervisor en la memoria de una VM invitada en ejecución sin pausar la operación del invitado. También analiza los clones de disco de forma periódica. Debido a que este servicio funciona desde fuera de la instancia de VM invitada, no requiere agentes invitados ni una configuración especial del sistema operativo invitado, y es resistente a las contramedidas que usa el software malicioso sofisticado. No se usan ciclos de CPU dentro de la VM invitada y no se requiere conectividad de red. Los equipos de seguridad no necesitan actualizar firmas ni administrar el servicio.
Cómo funciona la detección de minería de criptomonedas
Con la tecnología de Google Cloud's las reglas de detección de amenazas, VM Threat Detection analiza la información sobre el software que se ejecuta en las VMs, incluida una lista de nombres de aplicaciones, uso de CPU por proceso, hashes de páginas de memoria, contadores de rendimiento de hardware de CPU e información sobre el código máquina ejecutado para determinar si alguna aplicación coincide con firmas de minería de criptomonedas conocidas. Cuando sea posible, Virtual Machine Threat Detection determina el proceso en ejecución asociado con las coincidencias de firma detectadas e incluye información sobre ese proceso en el hallazgo.
Cómo funciona la detección de rootkits en modo kernel
VM Threat Detection infiere el tipo de sistema operativo que se ejecuta en la VM y usa esa información para determinar el código del kernel, las regiones de datos de solo lectura y otras estructuras de datos del kernel en la memoria. VM Threat Detection aplica varias técnicas para determinar si se manipularon esas regiones, comparándolas con hashes precalculados que se esperan para la imagen del kernel y verificando la integridad de las estructuras de datos importantes del kernel.
Cómo funciona la detección de software malicioso
VM Threat Detection toma clones de corta duración del disco persistente de tu VM, sin interrumpir tus cargas de trabajo, y analiza los clones de disco. Este servicio analiza los archivos ejecutables en la VM para determinar si algún archivo coincide con firmas de software malicioso conocidas. El hallazgo generado contiene información sobre el archivo y las firmas de malware detectadas.
Funciones de múltiples nubes
Fuera de Google Cloud, la detección de software malicioso también está disponible para las VMs de Amazon Elastic Compute Cloud (EC2).
Para analizar las VMs de AWS, debes ser cliente de Security Command Center Enterprise y tú debes primero habilitar VM Threat Detection para AWS.
Solo puedes habilitar esta función a nivel de la organización. Durante el análisis, VM Threat Detection usa recursos eny en AWS. Google Cloud
Frecuencia de análisis
Para revisar la memoria, VM Threat Detection analiza cada instancia de VM inmediatamente después de que se crea. Además, analiza cada una de ellas cada 30 minutos.
- Para la detección de minería de criptomonedas, VM Threat Detection genera un hallazgo por proceso, por VM y por día. Cada hallazgo incluye solo las amenazas asociadas con el proceso que se identifica en el hallazgo. Si VM Threat Detection encuentra amenazas, pero no puede asociarlas con ningún proceso, agrupa todas las amenazas no asociadas en un único hallazgo que genera una vez cada 24 horas. En el caso de las amenazas que persisten durante más de 24 horas, VM Threat Detection genera hallazgos nuevos cada 24 horas.
- En el caso de la detección de rootkits en modo kernel, VM Threat Detection genera un hallazgo por categoría y por VM cada tres días.
En cuanto al análisis del disco persistente, que detecta la presencia de malware conocido, VM Threat Detection analiza cada instancia de VM una vez al día como mínimo.
Si activas el nivel Premium de Security Command Center, los análisis de VM Threat Detection se habilitan automáticamente. Si es necesario, puedes inhabilitar el servicio o habilitarlo a nivel del proyecto. Para obtener más información, consulta Habilita o inhabilita VM Threat Detection.
Resultados
En esta sección, se describen los resultados de amenazas que genera VM Threat Detection.
VM Threat Detection tiene las siguientes detecciones de amenazas.
Resultados de amenazas de minería de criptomonedas
VM Threat Detection detecta las siguientes categorías de hallazgos a través de la coincidencia de hashes o las reglas YARA.
| Categoría | Módulo | Descripción |
|---|---|---|
|
CRYPTOMINING_HASH
|
Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
|
CRYPTOMINING_YARA
|
Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
|
|
Identifica una amenaza que detectaron los módulos
CRYPTOMINING_HASH y CRYPTOMINING_YARA.
Para obtener más información, consulta
Detecciones combinadas. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta.
|
Resultados de amenazas de rootkits en modo kernel
VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa el software malicioso.
El módulo KERNEL_MEMORY_TAMPERING
detecta amenazas mediante una comparación de hash en el
código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.
El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas mediante la verificación
de la integridad de las estructuras de datos importantes del kernel.
| Categoría | Módulo | Descripción |
|---|---|---|
| Rootkit | ||
|
|
Hay una combinación de indicadores que coinciden con un rootkit conocido en modo kernel. Para recibir resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
| Manipulación de la memoria del kernel | ||
|
KERNEL_MEMORY_TAMPERING
|
Se detectaron modificaciones inesperadas en la memoria de datos de solo lectura del kernel. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
| Manipulación de la integridad del kernel | ||
|
KERNEL_INTEGRITY_TAMPERING
|
Hay puntos ftrace presentes con devoluciones de llamada que apuntan a regiones que no se encuentran en
el rango de código previsto del kernel ni del módulo. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta.
|
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de interrupciones que no se encuentran en las regiones esperadas del kernel o del código del módulo. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
|
KERNEL_INTEGRITY_TAMPERING
|
Hay páginas de código de kernel que no se encuentran en las regiones esperadas del kernel o del código del módulo. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe puntos están presentes con devoluciones de llamada que apuntan a regiones que no se encuentran en
el rango de código previsto del kernel ni del módulo. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta.
|
|
KERNEL_INTEGRITY_TAMPERING
|
Hay procesos inesperados en la cola de ejecución del programador. Estos procesos están en la cola de ejecución, pero no en la lista de tareas del proceso. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
|
KERNEL_INTEGRITY_TAMPERING
|
Hay controladores de llamadas del sistema que no se encuentran en las regiones esperadas del kernel o del código del módulo. De forma predeterminada, los hallazgos se clasifican como de gravedad Alta. |
Resultados de amenazas de software malicioso
VM Threat Detection detecta las siguientes categorías de hallazgos mediante el análisis del disco persistente de una VM en busca de malware conocido.
| Categoría | Módulo | Descripción | Proveedor de servicios en la nube compatible |
|---|---|---|---|
Malware: Malicious file on disk
|
MALWARE_DISK_SCAN_YARA_AWS
|
Analiza los discos persistentes en las VMs de Amazon EC2 y hace coincidir las firmas que usa el software malicioso conocido. De forma predeterminada, los hallazgos se clasifican como de gravedad Media. | AWS |
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Analiza los discos persistentes en las VMs de Compute Engine y hace coincidir las firmas que usa el software malicioso conocido. De forma predeterminada, los hallazgos se clasifican como de gravedad Media. | Google Cloud |
Análisis de VMs en perímetros de Controles del servicio de VPC
Antes de que VM Threat Detection pueda analizar las VMs en los perímetros de Controles del servicio de VPC, debes agregar reglas de entrada y salida en cada perímetro que quieras analizar. Para obtener más información, consulta Permite que VM Threat Detection acceda a los perímetros de Controles del servicio de VPC.
Limitaciones
VM Threat Detection admite instancias de VM de Compute Engine , con las siguientes limitaciones:
Compatibilidad limitada para las VMs de Windows:
Para la detección de minería de criptomonedas, VM Threat Detection se enfoca principalmente en los objetos binarios de Linux y tiene una cobertura limitada de los mineros de criptomonedas que se ejecutan en Windows.
En el caso de la detección de rootkits en modo kernel, VM Threat Detection solo admite sistemas operativos Linux.
No es compatible con las VM de Compute Engine que usan Confidential VM. Las instancias de Confidential VM usan criptografía para proteger el contenido de la memoria a medida que entra y sale de la CPU. Por lo tanto, VM Threat Detection no puede analizarlas.
No es compatible con las VMs que usan procesadores basados en Arm.
Limitaciones del análisis de disco:
No se admiten los discos persistentes que están encriptados con claves de encriptación proporcionadas por el cliente (CSEK) ni claves de encriptación administradas por el cliente (CMEK).
Solo se analizan las particiones
vfat,ext2yext4.
VM Threat Detection requiere que el agente de servicio de Security Center pueda enumerar las VMs en los proyectos y clonar los discos en proyectos propiedad de Google. Algunas restricciones de políticas de la organización, como
constraints/compute.storageResourceUseRestrictions, pueden interferir con esas operaciones. En este caso, es posible que el análisis de VM Threat Detection no funcione.VM Threat Detection depende de las capacidades del Google Cloud's hipervisor de y Compute Engine. Por lo tanto, VM Threat Detection no se puede ejecutar en entornos locales ni en otros entornos de nube pública.
Privacidad y seguridad
VM Threat Detection accede a los clones de disco y a la memoria de una VM en ejecución para su análisis. El servicio analiza solo lo necesario para detectar amenazas.
El contenido de la memoria de la VM y los clones de disco se usan como entradas en la canalización de análisis de riesgos de VM Threat Detection. Los datos se encriptan en tránsito y los procesan los sistemas automatizados. Durante el procesamiento, los sistemas de control de seguridad de Google Cloudprotegen los datos.
Para fines de supervisión y depuración, VM Threat Detection almacena información estadística y de diagnóstico básica sobre los proyectos que protege el servicio.
VM Threat Detection analiza el contenido de la memoria de VM y los clones de disco en sus respectivas regiones. Sin embargo, los resultados y los metadatos resultantes (como los números de proyecto y organización) pueden almacenarse fuera de esas regiones.
Para obtener más información sobre cómo Security Command Center controla tus datos, consulta Descripción general de la seguridad de la infraestructura y los datos.
¿Qué sigue?
- Obtén información para usar VM Threat Detection.
- Obtén información para habilitar VM Threat Detection para AWS.
- Obtén información para permitir que VM Threat Detection analice las VMs en los Controles del servicio de VPC perímetros.
- Obtén información para inspeccionar una VM en busca de indicios de manipulación de la memoria del kernel del kernel.
- Obtén información para responder a los resultados de amenazas de Compute Engine findings.
- Consulta el Índice de hallazgos de amenazas.