Google在其安全命令中心加入虚拟机威胁侦测(VMTD)功能,现在正式推出供所有用户使用,该功能融入虚拟化堆栈中,在背景持续扫描用户工作负载中存在的安全威胁。官方提到,过去针对Compute Engine机队的内存扫描存在挑战,而VMTD可针对较小但更重要的缓存进行扫描,因此可频繁扫描大量执行实例。
VMTD可发现执行实例中一些特别的攻击,像是发现用户的杀毒代理实则为虚拟货币挖矿程序等案例,Google提到,他们的YARA规则是与Google的威胁情报社群合作,同时运用分析小组和威胁情报的专业知识开发。VMTD除了可以发现挖矿行为外,也可以识别和回应挖矿活动的特定过程。
另外,由于VMTD能够深入理解Linux核心,即便执行实例里面没有设置代理,也能够观察到具体的威胁执行细节,更容易地对侦测结果分类、调查,并且采取行动。
VMTD的特别之处,就在于VMTD是属于虚拟机管理程序的一部分,而非执行实例内部的代理,Google表示,传统的端点侦测和回应技术(EDR)代理,会暴露在攻击者面前,但是VMTD是一种攻击者不可见的方法,因此攻击者也无法得知VMTD扫描的时机。
用户要激活VMTD,只需要在安全命令中心Premium设置中,勾选激活VMTD选项即可,激活后,VMTD就能保护大量的执行实例,而且不需要消耗执行实例本身的计算资源,VMTD还可侦测Rootkit和Bootkit,防止核心完整性遭到篡改。