今天要为大家推荐的论文是来自华中科技大学李志老师与印第安纳大学XiaoFeng Wang, Xiaojing Liao和Luyi Xing三位老师合作的最新研究工作Robbery on DevOps: Understanding and Mitigating Illicit Cryptomining on Continuous Integration Service Platforms的独家报道!该工作已被将在这个月召开的IEEE S&P 2022 录用。
随着DevOps在云平台中的实践,为满足开发者对于CI服务的需求,市场上涌现了30余项成熟的商用CI平台(例如,CircleCI、Travis-CI、Gitlab CI和Azure CI等)。为吸引用户并抢占市场,这些CI平台向用户提供了海量的计算资源与操作便捷的CI服务。然而,丰富的计算资源同样吸引了大批攻击者,导致几乎所有CI平台均遭受了不同程度的滥用。
在作者的研究中,发现攻击者滥用CI平台的过程如图1所示。首先,攻击者需要在公共代码托管平台(①)(例如GitHub,GitLab或Bitbucket)上创建代码仓库,并授予CI平台访问代码仓库的权限(②)。随后,攻击者需在代码仓库中根据CI平台的引导创建一份yaml格式的配置文件,用于指定一组任务作为CI 平台中运行的工作流(③)。此类工作流中通常包括容器镜像构建和镜像测试等任务,攻击者会在镜像构建所需的Dockerfile中注入挖矿命令或是使用包含挖矿命令的镜像启动测试任务(④)。典型的恶意Dockerfile如图2所示,其中展示攻击者如何将挖矿命令插入到用于容器镜像的构建任务中。基于该Dockerfile进行镜像构建时,加密挖矿攻击将在第六行命令执行时被激活。
图一
通过对GitHub中代码存储仓库的系统性研究,作者发现GitHub中0.153%正在使用CI服务的代码仓库中均存在恶意挖矿行为,涉及865个GitHub代码仓库,607个GitHub帐户,23项CI服务,71个矿池和104个钱包地址,共计30个攻击团体。该攻击最早出现于2014年并于2017年首次大规模爆发,至今仍有大量新的攻击实例不断在各CI平台中涌现。此外,作者根据各CI平台可提供算力的历史数据,对各攻击团体的收益进行了不完全估算(CI平台和GitHub会对进行恶意挖矿的用户进行封号),发现最大的攻击团体在36个月中的净收益超过793,836.49美元。
|
Dockerfile文件内容 |
|
1: FROM Ubuntu:18.04 |
|
2: WORKDIR / |
|
3: RUN apt install git make -y |
|
4: RUN git clone <project> && make -j4 |
|
5: RUN wget <url: mining tool> |
|
6: RUN ./<mining tool> -u <wallet id> -o <pool address> |
|
7: ENTRYPOINT ./<project> |
图 2 2 Dockerfile示例
经对现有恶意挖矿实例的研究后,作者发现此类攻击长期活动于CI平台中,并不断演化以增强自身攻击能力、混淆CI平台中的检测与取证机制,即使攻击者账号被封禁,其依然有能力以极低的成本创建大量账号进行下一轮攻击,最终导致CI平台在与攻击者的博弈中虽能检测到挖矿攻击但难以有效进行遏制。为解决该问题,作者提出一种针对CI平台中加密挖矿攻击的防御方案,该防御方案旨在使挖矿攻击无法获得收益,从而迫使攻击者放弃攻击CI平台。
具体而言,当前几乎所有的加密挖矿作业均需依赖于矿池,而基于矿池的挖矿任务通常具有时间限制,只有矿工在给定的时间窗口内完成任务才能获得回报,否则针对该任务的所有计算将不会获得任何收益。而CI平台中合法任务的完成不取决于单个时间窗口内的进度,而是取决于多个时间窗口内的累计工作量。因此,可从根本上将CI平台中的挖矿任务与合法任务区分开来。基于此观察结果,作者提出一种通过定期向任务进程中添加“延时抖动”的防御方案,以期减少挖矿任务(如果存在)完成的可能性,且不会过度干扰合法任务的进度,同时保证对CI平台整体吞吐量的影响可忽略不计。
实验结果表明,该防御方案对出现在CI服务中的加密货币及其相应的挖矿工具均有效,可迫使各种加密货币的哈希速率平均下降95.3%,且无法获得收益,而对CI平台中正常任务的延迟则始终保持在可接受的范围内。
原文下载:
https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/1wKCeof9dDO/pdf
投稿作者介绍:
李志华中科技大学讲师,主要研究方向包括云原生安全、可信容器与系统安全、云黑产。相关研究成果在Indiana University Blooming访问时由XiaoFeng Wang, Xiaojing Liao和Luyi Xing三位老师指导完成,并以论文的形式发表在IEEE S&P 2022上。
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-05-05 Robbery on DevOps
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论