Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Existem controladores de interrupções que não se encontram nas regiões de código do módulo ou do kernel esperadas.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
Abra a deteção, conforme indicado em Reveja as deteções. O painel de detalhes da deteção é aberto no separador Resumo.
No separador Resumo, reveja as informações nas seguintes secções:
O que foi detetado, especialmente os seguintes campos:
- Nome do rootkit do kernel: o nome da família do rootkit que foi detetado, por exemplo,
Diamorphine. - Páginas de código do kernel inesperadas: se as páginas de código do kernel estão presentes em regiões de código do kernel ou do módulo onde não são esperadas.
- Controlador de chamadas do sistema inesperado: se os controladores de chamadas do sistema estão presentes em regiões de código do kernel ou do módulo onde não são esperados.
- Nome do rootkit do kernel: o nome da família do rootkit que foi detetado, por exemplo,
Recurso afetado, especialmente o seguinte campo:
- Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que a contém.
Para ver o JSON completo desta descoberta, na vista de detalhes da descoberta, clique no separador JSON.
Passo 2: verifique os registos
Na Google Cloud consola, aceda ao Explorador de registos.
Na Google Cloud barra de ferramentas da consola, selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso no separador Resumo dos detalhes da deteção.
Verifique os registos para ver se existem sinais de intrusão na instância de VM afetada. Por exemplo, verifique se existem atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.
Passo 3: reveja as autorizações e as definições
- No separador Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
- Reveja os detalhes da instância de VM, incluindo as definições de rede e de acesso.
Passo 4: inspecione a VM afetada
Siga as instruções em Inspeção de uma VM para detetar sinais de adulteração da memória do kernel.
Passo 5: pesquise métodos de ataque e resposta
- Reveja as entradas da framework MITRE ATT&CK para evasão de defesa.
- Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.
Passo 6: implemente a sua resposta
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Contacte o proprietário da VM.
Se necessário, pare a instância comprometida e substitua-a por uma nova instância.
Para análise forense, considere fazer uma cópia de segurança das máquinas virtuais e dos discos persistentes. Para mais informações, consulte as opções de proteção de dados na documentação do Compute Engine.
Elimine a instância de VM.
Para uma investigação mais aprofundada, considere usar serviços de resposta a incidentes, como o Mandiant.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.