Google Cloud a dévoilé une nouvelle fonctionnalité de détection des menaces de machine virtuelle qui peut avertir les clients lorsque des logiciels malveillants d’extraction de crypto-monnaie sont en cours d’exécution sur leurs machines virtuelles. Cela pourrait aider l’occurrence de plus en plus courante de systèmes basés sur le cloud détournés pour exécuter des charges de travail de cryptominage, comme le piratage qui a coûté 45 000 $ en frais pour un utilisateur AWS malchanceux.
« VM Threat Detection est un service géré qui analyse les projets Compute Engine activés et les instances de VM pour détecter les applications indésirables exécutées à l’intérieur des VM », a déclaré Google. « Lorsque vous activez ce service sur une ressource (une organisation ou un projet), les analyses sont automatiquement configurées et planifiées pour cette ressource. »
Cela suggère que Google prévoit de se défendre contre d’autres logiciels malveillants via Virtual Machine Threat Detection à l’avenir, mais au moins lors de cet aperçu initial, la fonctionnalité est limitée aux mineurs de crypto-monnaie indésirables, qui, selon Google, sont « parmi les types de logiciels les plus courants installés dans des environnements compromis ». environnements cloud. »
Le problème n’est pas exclusif à Google Cloud. Trend Micro a signalé en novembre 2021 que les serveurs Alibaba Cloud étaient ciblés par des logiciels malveillants de « cryptojacking » et qu’il avait détecté des attaques similaires sur d’autres fournisseurs de services cloud dans le passé. Ce type de malware cible également tout, des produits NAS aux Mac M1.
L’infection d’un poste de travail avec un logiciel malveillant de crypto-extraction peut entraîner des problèmes de performances, une pression supplémentaire sur le système et une consommation d’énergie accrue. Infecter l’instance cloud de quelqu’un peut bien sûr entraîner des problèmes similaires, mais le problème le plus urgent serait probablement l’augmentation des coûts d’exploitation encourus par le logiciel malveillant de cryptojacking.
C’est là qu’intervient Virtual Machine Threat Detection. Google a déclaré que la fonctionnalité détecterait initialement les logiciels malveillants de crypto-extraction en utilisant trois types de détections : faire correspondre les valeurs de hachage des logiciels en cours d’exécution avec les hachages des logiciels malveillants connus ; correspondance avec des modèles de mémoire spécifiques associés à des logiciels malveillants connus ; et les soi-disant « détections combinées » impliquant de multiples signes de compromission.
L’astuce consiste à offrir ces protections sans créer de problèmes supplémentaires pour les utilisateurs de Google Cloud. Quel est l’intérêt si l’offre de sécurité peut également perturber les services, consommer plus d’énergie ou entraîner des coûts supplémentaires ? (Au-delà de ceux associés au passage au niveau d’abonnement Security Command Center Premium, c’est-à-dire.)
« Parce que VM Threat Detection fonctionne depuis l’extérieur de l’instance de VM invitée, le service ne nécessite pas d’agents invités ni de configuration spéciale du système d’exploitation invité, et il résiste aux contre-mesures utilisées par les logiciels malveillants sophistiqués », a déclaré Google. « Aucun cycle de processeur n’est utilisé à l’intérieur de la machine virtuelle invitée et la connectivité réseau n’est pas requise. Les équipes de sécurité n’ont pas besoin de mettre à jour les signatures ou de gérer le service. »
Cela signifie-t-il que Virtual Machine Threat Detection sera infaillible ? Non. Mais il semble que Google Cloud essaie d’offrir à ses clients une certaine sécurité supplémentaire sans les obliger à mettre en place leurs propres défenses contre certaines des attaques les plus courantes et les plus élémentaires auxquelles ils pourraient être confrontés.
Plus d’informations sur l’utilisation de Virtual Machine Threat Detection sont disponibles dans la documentation de Google Cloud.