攻擊者利用AI框架Ray缺乏身份驗證機制的缺陷,利用AI增強惡意軟件實施攻擊,竊取算力資源進行加密貨幣挖礦,或實施進一步攻擊;
當前互聯網上暴露的Ray服務器數量已超過23萬台,其中隱藏着巨大的風險。
安全內參11月20日消息,一個名為ShadowRay2.0的全球性行動利用一個舊的代碼執行漏洞劫持暴露的Ray集群,將其轉變為可自我傳播的加密貨幣挖礦殭屍網絡。
由Anyscale開發的Ray開源框架允許在分布式計算生態系統中構建並擴展基於AI和Python的應用,該生態系統以集群或頭節點的組織方式運行。
根據云安全公司Oligo的研究人員介紹,他們追蹤到的威脅行為者IronErn440使用AI生成的Payload來攻陷暴露在公共互聯網、存在漏洞的Ray基礎設施。
他們指出,惡意活動不僅局限於加密貨幣挖礦,在部分情況下還涉及數據與憑證竊取,以及發動分布式拒絕服務(DDoS)攻擊。
新攻擊活動,舊安全缺陷
ShadowRay2.0是此前一項名為ShadowRay的行動的延續,該行動同樣由Oligo披露,活動時間為2023年9月至2024年3月。
Oligo研究人員發現,兩次行動均利用了編號為CVE-2023-48022的舊的高危漏洞。由於Ray最初被設計為運行在可信環境中,即所謂“嚴格控制的網絡環境”,這一安全問題始終未被修復。
然而,研究人員指出,目前互聯網上暴露的Ray服務器數量已超過23萬台,相比“首次發現ShadowRay時看到的幾千台”出現了巨大增長。
在今日發布的一份報告中,Oligo表示他們觀測到兩波攻擊:第一波濫用GitLab進行Payload投遞,並於11月5日結束;第二波濫用GitHub,自11月17日起持續進行。
圖:惡意GitHub倉庫
AI生成攻擊載荷
Oligo表示,攻擊中使用的載荷(Payload)是在大型模型的協助下生成的。該判斷基於對代碼結構、注釋內容以及錯誤處理模式的分析。
例如,在對其中一個Payload進行反混淆後,研究人員注意到代碼中包含“文檔字符串和無意義的回顯語句,這強烈暗示該代碼由大型模型生成”。
圖:部分Payload
攻擊者利用CVE-2023-48022,通過向Ray未經身份驗證的JobsAPI提交作業來運行多階段的Bash和Python Payload,並藉助該平台的編排能力將惡意軟件部署到所有節點,實現集群間的自主傳播。
加密挖礦模塊同樣似乎由AI生成,能夠檢測可用CPU和GPU資源及訪問級別。在Payload代碼中,研究人員發現,攻擊者“欣賞”至少擁有8核和root權限的系統,稱其“特別好用”。
該模塊使用XMRig挖掘門羅幣,並限制自身只使用60%的處理能力,以規避即時檢測。
Oligo發現礦工程序會被投放在迷惑性的文件路徑中,並使用如“dns-filter”之類偽造的進程名以降低可見性。其持久化機制通過cron任務和systemd修改實現。
另外,攻擊者會確保只有自己能在被攻陷的Ray集群上進行挖礦,並會終止任何其他競爭性的挖礦腳本。此外,他們還通過/etc/hosts和iptables屏蔽其他挖礦礦池。
圖:礦工配置
除了加密挖礦外,惡意軟件還會向攻擊者基礎設施開啟多個Python反向shell,以便對被攻陷系統進行交互式控制,從而訪問並可能外傳工作負載環境數據、MySQL憑證、專有AI模型以及存儲在集群上的源代碼。
它還可以使用Sockstress工具發動DDoS攻擊,該工具利用原始套接字開啟大量傳輸控制協議(TCP)連接,從資源消耗不對稱性入手實施攻擊。
在檢查攻擊者創建的cron任務時,Oligo表示,其中有一個腳本每隔15分鐘執行一次,用於檢測GitHub倉庫是否有更新的Payload。
圖:設置持久化機制
如何應對ShadowRay2.0攻擊
由於針對CVE-2023-48022尚無可用補丁,建議Ray用戶在部署集群時遵循供應商推薦的“最佳實踐”。
在首次發現ShadowRay行動後,Anyscale發布更新列出了多項建議,其中包括在安全、可信的環境中部署Ray。
集群應通過防火牆規則和安全組策略進行保護,防止未經授權的訪問。
Oligo還建議在RayDashboard的默認端口(8265端口)上啟用授權機制,並對AI集群實施持續監控,以識別異常活動。
參考資料:bleepingcomputer.com