S&P'22:探測并抵御CI服務中的非法加密挖礦
云原生實踐下商用CI服務被開發運維人員廣泛使用,而其中豐富的計算資源也吸引了大批攻擊者。為探尋攻擊者濫用CI服務的方式及其造成的影響,我們對主流的商用CI服務進行了系統性分析,研究發現大量攻擊者正濫用CI服務進行加密挖礦攻擊。通過分析CI服務中的作業日志和其相關聯的GitHub代碼倉庫,我們發現了30個攻擊團伙共計1,974 個偽裝成正常CI工作流的挖礦實例,而幾乎所有的商用CI服務均遭受到不同程度的攻擊。其中攻擊實例最長的攻擊周期為33個月,涉及12種不同類型的加密貨幣,并經估算,最大的攻擊團伙單月可獲利超過20,000美元。區別于基于瀏覽器的加密挖礦攻擊,CI服務中的加密挖礦行為與合法的CI工作流具有相似的特征,現有挖礦檢測方法較難適用,同時經檢測發現的攻擊者在被封號處理后,依然可以通過新建賬號重新開始挖礦攻擊,因此無法被有效根除。針對此現狀,我們提出了一種基于延遲注入的防御方案向CI服務中的工作流添加延時抖動,在輕微影響合法任務的情況下,使加密挖礦攻擊無法獲益,最終徹底根除CI服務中的加密挖礦攻擊。
該成果"Robbery on DevOps: Understanding and Mitigating Illicit Cryptomining on Continuous Integration Service Platforms"被IEEE S&P 2022錄用。S&P是信息安全領域頂級會議,S&P 2022年錄用率為14.5%。
- 論文鏈接:
- https://ieeexplore.ieee.org/document/9833803
背景與動機
隨著云原生下DevOps的廣泛實踐,當前GitHub中已有至少1,000,000個開源項目在使用CI服務進行敏捷開發。為滿足開發者對于CI的需求,市場上涌現了20余項成熟的商用CI服務,例如CircleCI、Travis-CI、Gitlab CI和Azure CI等。聯合GitHub、GitLab和BitBucket等主流代碼托管平臺,CI服務可自動對相關聯的項目代碼進行構建、測試與部署,極大提升項目的上線速度。具體而言,當開發者更新代碼托管平臺上的項目后,自動觸發的CI服務會根據代碼倉庫中預置的Dockerfile文件將項目代碼構建為容器鏡像,并在鏡像通過預設的可用性、正確性測試后,將其部署到指定的云平臺。得益于容器提供的一致性標準化運行環境,上述過程均可以高效且快速的自動執行,極大縮短了服務構建與上線時間。
CI服務雖然吸引了大量開發者使用,但同時也成為了攻擊者的重要目標之一。一般而言,Dockerfile作為容器鏡像構建的基礎,可以定義任意種類的命令用于鏡像的構建。在容器鏡像構建過程中,Dockerfile中的命令會在一個臨時的容器實例中執行,此類臨時容器通常僅提供基礎的隔離而不具備額外的安全防護。具體而言,使用CI服務的攻擊者可以定制Dockerfile中命令或劫持合法用戶的Dockerfile,以此在CI工作流中執行惡意命令,進而濫用CI服務中的計算資源或對CI服務進行破壞。目前,我們發現了大量攻擊者在濫用CI服務中的計算資源進行加密挖礦攻擊,為全面探索此類攻擊的現狀與可行的防御方法,我們面向商用CI服務開展了系統性的研究與分析。
攻擊現狀分析
經研究發現攻擊者濫用CI服務的過程如圖1所示。首先,攻擊者需要在公共代碼托管平臺(①)(例如GitHub,GitLab或Bitbucket)上創建代碼倉庫,并授予CI服務訪問存儲庫的權限(②)。隨后,攻擊者需在代碼倉庫中根據CI服務的引導創建一份yaml格式的配置文件,用于指定一組任務作為CI 平臺中運行的工作流(③)。此類工作流中通常包括容器鏡像構建和鏡像測試等任務,攻擊者會在鏡像構建所需的Dockerfile中注入挖礦命令或是使用包含挖礦命令的鏡像啟動測試任務(④)。典型的惡意Dockerfile如圖2所示,其中展示攻擊者如何將挖礦命令插入到用于容器鏡像的構建任務中。基于該Dockerfile進行鏡像構建時,加密挖礦攻擊將在第六行命令執行時被激活。
圖1 CI服務攻擊流程
通過對GitHub中使用過CI服務的代碼存儲倉庫進行檢測,結果表明GitHub中0.153%正在使用CI服務的代碼倉庫中均存在惡意挖礦行為,涉及865個GitHub代碼倉庫與607個GitHub帳戶。其中,共計30個攻擊團伙對23個商用CI服務實施了攻擊,共用到71個礦池和104個錢包地址。經統計,錢包地址歸屬于13種不同的加密貨幣,其中超過67.9%的攻擊者傾向在攻擊中挖掘門羅幣(Monero),其次是挖掘達克幣(DarkCoin)、字節幣(ByteCoin)和萊特幣(LiteCoin)等單價相對較高的加密貨幣以期獲取高額收益。
圖2 惡意Dockerfile示例
經過對865個GitHub代碼倉庫中共計1467個攻擊實例進行分析后,各項加密挖礦攻擊實例在CI服務中的生命周期如圖3所示。分析結果顯示,單個加密挖礦攻擊實例的平均生命周期跨度為42.8天,而攻擊實例所在GitHub代碼倉庫的平均壽命大約為337.8天。其中,2017年到2019年的兩年間是加密挖礦攻擊實例的數量迅速增加區間,分析發現86.18%的攻擊實例在此期間出現。同時,57.01%的攻擊代碼倉庫創建于2014年1月至2018年1月之間。有趣的是,攻擊實例代碼倉庫的創建時間與該實例首次啟動間存在一定的時間間隔,該時間間隔的平均長度為861.5天。經分析求證,此類代碼倉庫最初的創建者并不是攻擊者,而其所有者在攻擊實施階段轉變為攻擊者。基于此推測,攻擊者可能為了節省創建代碼倉庫的時間成本而選擇直接購買現有的代碼倉庫。
圖3 攻擊實例的生命周期
為了解加密挖礦攻擊實例的演變,以占比最多的門羅幣攻擊實例為例,對其演化趨勢與門羅幣價格趨勢進行交叉對比。圖4展示了2017年7月至2020年5月間每月新出現新攻擊實例的數量,以及其與門羅幣價格變化的關系。如圖可知,2017年7月到2018年4月之間,門羅幣的價格趨于峰值的同時出現了大量的攻擊實例。而隨著門羅幣價格下降,攻擊實例的增長趨勢也開始放緩。具體而言,大約在2018年2月出現了超過231個新實例增加的最大高峰,此時門羅幣的價格也達到了351.43美元的峰值。之后,當門羅幣價格降至100.81美元時,新增攻擊實例的數量降至平均每月2.13個。
圖4 幣價與攻擊實例數量間的關系
為確定CI服務中加密挖礦攻擊的影響,我們嗅探了不同CI服務所能提供硬件配置,并根據相應的配置模擬估算相關挖礦攻擊所能獲得的收益。根據歷史幣價,估算得出2017年3月至2020年5月在11項流行的CI服務中挖掘門羅幣的攻擊實例總收入為793 836.49美元(1 XMR = 117.62美元),即每月獲利20 890.43美元。與基于瀏覽器的加密挖礦攻擊的收入相比,CI服務中的加密挖礦攻擊實例的月收入略高于劫持一項Alexa Top-500網站進行加密挖礦攻擊的月收入。此外,由于門羅幣算法更新后需要大量內存維持運行,基于瀏覽器的加密挖礦攻擊現已無法繼續挖掘單價最高的門羅幣,進而致使大量攻擊者將其目標轉向CI服務。
防御方案設計
經對現有惡意挖礦實例的研究后,我們發現此類攻擊長期活動于CI服務中并不斷與CI服務中防御機制對抗,持續演化以增強自身攻擊能力、混淆CI服務中的檢測與取證機制,即使攻擊者賬號被封禁,其依舊有能力以極低成本創建大量賬號進行下一輪攻擊,最終導致CI服務在與攻擊者的博弈中雖能檢測到挖礦攻擊但難以有效進行遏制。為解決該問題,我們提出一種以根除CI服務中加密挖礦攻擊為目的的防御方案,該防御方案并不側重對加密挖礦攻擊的有效檢測,而是旨在使CI服務中的加密挖礦攻擊無法獲得收益,從而迫使攻擊者放棄攻擊CI服務。
經統計,CI服務中所有的加密挖礦攻擊實例均需依賴于礦池工作,而基于礦池的挖礦任務通常具有時間限制,只有礦工在給定的時間窗口內完成任務才能獲得回報,否則針對該任務的所有計算將不會獲得任何收益。而CI服務中合法任務的完成則不取決于單個時間窗口內的進度,而是取決于多個時間窗口內的累計工作量。因此,可從根本上將CI服務中的挖礦任務與合法任務區分開來。基于此觀察結果,我們提出一種通過定期向任務進程中添加“延時抖動”的防御方案,以期減少挖礦任務(如果存在)完成的可能性,且不會過度干擾合法任務的進度,同時保證對CI服務整體吞吐量的影響可忽略不計。
圖5 防御方案有效性評估
實驗結果如圖5所示,該防御方案對出現在CI服務中的加密貨幣及其相應的挖礦工具均有效,可迫使各類加密貨幣的哈希速率平均下降95.3%。其中,防御方案對Bitcoin的延遲率較其他貨幣相對較低為93.1%;而對AEON的防御效果最佳,其延遲率達到97.3%。對于所有加密貨幣,防御方案可以對其挖礦過程進行有效延遲,并將其哈希率降低到無法獲利的水平。尤其對于攻擊實例中獲益最高的Monero,防御方案可使其14日的累積利潤由11.7美元降至0。而對于合法任務而言,防御方案帶來的性能損失僅在10%以內,保持在可接受的范圍內。
詳情內容請參見:
Zhi Li, Weijie Liu, Hongbo Chen, XiaoFeng Wang, Xiaojing Liao, Luyi Xing, Mingming Zha, Hai Jin and Deqing Zou. Robbery on DevOps: Understanding and Mitigating Illicit Cryptomining on Continuous Integration Service Platforms. In Proceedings of the 43rd IEEE Symposium on Security and Privacy (S&P’22). 2022:1-14.
https://ieeexplore.ieee.org/document/9833803
