Malware-Schutz: Google Cloud erhält Crypto-Miner-Erkennung
Nach Einbrüchen in Cloud-Dienste schürfen die Cyberkriminellen dort oftmals Kryptowährungen. Google ergänzt in seiner Cloud nun Crypto-Miner-Erkennung.
(Bild: Tobias Arhelger / Shutterstock.com)
Google bietet für seine Cloud eine frühe Version eines neuen Schutzmechanismus namens VM Threat Detection an, der Crypto-Mining in Cloud-VMs erkennen soll. Nach Einbrüchen in solche virtuelle Maschinen in der Cloud nutzen die Einbrecher die Ressourcen meist zum Schürfen von Kryptowährungen – den finanziellen Schaden erleidet in der Regel der reguläre Cloud-VM-Nutzer. Kleiner Wermutstropfen: Das Feature bleibt Abonnenten der Premium-Stufe des Security-Command-Centers vorbehalten.
Externer Scan
VM Threat Detection (VMTD) scannt Compute-Engine-Projekte und Cloud-Instanzen auf unerwünschte laufende Software. Es handelt sich dabei um eine Ergänzung des Hypervisor. Der Scan findet daher außerhalb der VMs statt. Da das ohne zu installierenden Agent in der VM funktioniert, ist der Schutz innerhalb der VM nicht zu erkennen: Fortgeschrittene Malware, die sich aktiv vor Analysen etwa durch Virenscanner versteckt, kann sich der Erkennung nicht entziehen.
In regelmäßigen Abständen führt VMTD einen Scan auf dem Live-Speicher der VM aus, ohne, dass diese dafür angehalten wird. In die Analyse fließen laut Google Informationen zur ausgeführten Software ein, unter anderem Name der Anwendung, CPU-Auslastung des Prozesses, Hashwerte der Speicherseiten, CPU-Performance-Counter und weitere, nicht konkret erläuterte Informationen zu ausgeführtem Maschinencode. Anhand eines Regelwerks überprüft die VMTD, ob es Übereinstimmungen zu bekannten Crypto-Miner-Signaturen gibt.
Frühe Version
In der Beschreibung von VMTD führt Google aus, dass es sich bislang noch um eine Vorschau-Version handelt. Daher gibt es noch einige Einschränkungen. So werde Windows in der Gast-VM nur begrenzt unterstützt, das Hauptaugenmerk liegt derzeit auf Linux-Binärdateien. Zudem lassen sich Compute-Engine-VMs nicht untersuchen, die Confidential VM nutzen. Diese Instanzen verschlüsseln den Speicher, weshalb VM Threat Detection ihn nicht untersuchen kann.
(dmk)