google在其安全命令中心加入虚拟机威胁侦测(vmtd)功能,现在正式推出供所有用户使用,该功能融入虚拟化堆栈中,在背景持续扫描用户工作负载中存在的安全威胁。官方提到,过去针对compute engine机队的内存扫描存在挑战,而vmtd可针对较小但更重要的缓存进行扫描,因此可频繁扫描大量执行实例。
vmtd可发现执行实例中一些特别的攻击,像是发现用户的杀毒代理实则为虚拟货币挖矿程序等案例,google提到,他们的yara规则是与google的威胁情报社群合作,同时运用分析小组和威胁情报的专业知识开发。vmtd除了可以发现挖矿行为外,也可以识别和回应挖矿活动的特定过程。
另外,由于vmtd能够深入理解linux核心,即便执行实例里面没有设置代理,也能够观察到具体的威胁执行细节,更容易地对侦测结果分类、调查,并且采取行动。
vmtd的特别之处,就在于vmtd是属于虚拟机管理程序的一部分,而非执行实例内部的代理,google表示,传统的端点侦测和回应技术(edr)代理,会暴露在攻击者面前,但是vmtd是一种攻击者不可见的方法,因此攻击者也无法得知vmtd扫描的时机。
用户要激活vmtd,只需要在安全命令中心premium设置中,勾选激活vmtd选项即可,激活后,vmtd就能保护大量的执行实例,而且不需要消耗执行实例本身的计算资源,vmtd还可侦测rootkit和bootkit,防止核心完整性遭到篡改。