SRE实战：如何用eBPF实时检测容器内的挖矿恶意行为？

背景：容器安全面临的挑战

作为一名SRE，我深知容器化技术在提升应用交付效率和资源利用率方面的巨大优势。然而，随着容器技术的普及，安全问题也日益突出。特别是在云原生环境下，容器安全面临着诸多挑战，其中之一就是恶意挖矿行为。攻击者常常利用安全漏洞或配置缺陷，入侵容器并植入挖矿程序，消耗大量计算资源，导致服务性能下降甚至崩溃，给企业带来经济损失和声誉风险。

传统的安全解决方案，如入侵检测系统（IDS）和端点检测与响应（EDR）工具，虽然可以在一定程度上检测到恶意行为，但往往存在以下问题？

• 滞后性：传统安全工具通常依赖于签名或规则匹配，无法及时发现新型或变种的挖矿程序。
• 资源消耗：传统安全工具需要在容器内部署代理或扫描器，会增加容器的资源消耗，影响应用性能。
• 隔离性问题：传统安全工具难以有效隔离受感染的容器，防止恶意行为扩散。

因此，我们需要一种更高效、更实时的容器安全解决方案，能够及时发现并阻止恶意挖矿行为。

eBPF：容器安全的新利器

eBPF（Extended Berkeley Packet Filter）是一种革命性的内核技术，它允许用户在内核中安全地运行自定义代码，而无需修改内核源代码或加载内核模块。eBPF具有以下优势，使其成为容器安全的理想选择：

• 高性能：eBPF程序运行在内核空间，可以高效地监控系统事件，而不会对应用性能产生明显影响。
• 实时性：eBPF程序可以实时地捕获系统事件，并进行分析和处理，及时发现恶意行为。
• 安全性：eBPF程序运行在沙箱环境中，受到内核的严格控制，可以防止恶意代码对系统造成危害。
• 灵活性：eBPF程序可以使用多种编程语言编写，如C、Go等，可以根据不同的安全需求进行定制。

实战：使用eBPF检测容器内挖矿行为

接下来，我将分享如何使用eBPF实时检测容器内的挖矿恶意行为，包括BTC地址嗅探等具体技术细节。

1. 确定监控目标

首先，我们需要确定哪些行为是挖矿程序的典型特征。以下是一些常见的挖矿行为：

• CPU占用率异常高：挖矿程序会持续占用大量CPU资源进行计算。
• 网络连接异常：挖矿程序会频繁连接到矿池服务器，进行数据交换。
• 访问敏感文件：挖矿程序可能会访问/etc/passwd等敏感文件，以获取系统信息。
• 创建异常进程：挖矿程序可能会创建多个子进程，以提高挖矿效率。
• BTC地址嗅探：挖矿程序可能会在内存中搜索BTC地址，用于替换或劫持交易。

2. 编写eBPF程序

接下来，我们需要编写eBPF程序来监控上述行为。以下是一个简单的eBPF程序示例，用于检测CPU占用率异常高的进程：

#include <linux/kconfig.h>
#include <linux/ptrace.h>
#include <linux/version.h>
#include <uapi/linux/bpf.h>
#include <linux/sched.h>
#include <linux/cred.h>
 
#ifdef KBUILD_MODNAME
#undef KBUILD_MODNAME
#endif
#define KBUILD_MODNAME proccount
 
#include <linux/version.h>
#if LINUX_VERSION_CODE > KERNEL_VERSION(4,11,0)
#include <uapi/linux/bpf.h>
#else
#include <linux/bpf.h>
#endif
 
/* Kernel header with this definition not available in older kernels */
#ifndef task_struct
struct task_struct {};
#endif
 
/* Kernel header with this definition not available in older kernels */
#ifndef cred
struct cred {};
#endif
 
BPF_HASH(cpu_usage, u32, u64);
 
int kprobe__finish_task_switch(struct pt_regs *ctx, struct task_struct *prev) {
    u32 pid = prev->pid;
    u64 ts = bpf_ktime_get_ns();
    u64 *start_ts = cpu_usage.lookup(&pid);
 
    if (start_ts) {
        u64 delta = ts - *start_ts;
        if (delta > 100000000) { // 100ms
            bpf_trace_printk("PID %d CPU usage: %llu ns\n", pid, delta);
        }
        cpu_usage.delete(&pid);
    }
 
    return 0;
}
 
int kprobe__wake_up_new_task(struct pt_regs *ctx, struct task_struct *p) {
    u32 pid = p->pid;
    u64 ts = bpf_ktime_get_ns();
    cpu_usage.update(&pid, &ts);
    return 0;
}
 
char _license[] SEC("license") = "GPL";

这个eBPF程序使用了kprobes技术，在进程切换时记录进程的PID和时间戳。如果进程的CPU占用时间超过100ms，则会打印一条跟踪消息。

BTC地址嗅探

要检测BTC地址嗅探行为，我们可以使用eBPF程序在内存中搜索符合BTC地址格式的字符串。以下是一个简单的示例：

#include <linux/kconfig.h>
#include <linux/ptrace.h>
#include <linux/version.h>
#include <uapi/linux/bpf.h>
#include <linux/sched.h>
#include <linux/cred.h>
 
#ifdef KBUILD_MODNAME
#undef KBUILD_MODNAME
#endif
#define KBUILD_MODNAME proccount
 
#include <linux/version.h>
#if LINUX_VERSION_CODE > KERNEL_VERSION(4,11,0)
#include <uapi/linux/bpf.h>
#else
#include <linux/bpf.h>
#endif
 
/* Kernel header with this definition not available in older kernels */
#ifndef task_struct
struct task_struct {};
#endif
 
/* Kernel header with this definition not available in older kernels */
#ifndef cred
struct cred {};
#endif
 
BPF_PERF_OUTPUT(btc_address);
 
static int is_valid_btc_address(const char *addr) {
    // Simplified BTC address validation (Base58 encoding check is more complex)
    if (addr[0] != '1' && addr[0] != '3' && addr[0] != 'b') return 0;
    int len = 0;
    while (addr[len] != '\0') len++;
    if (len < 26 || len > 35) return 0; // BTC addresses are typically 26-35 characters
    return 1;
}
 
int kprobe__do_sys_open(struct pt_regs *ctx, int dfd, const char *filename, int flags, umode_t mode) {
    char buffer[128];
    unsigned int pid = bpf_get_current_pid_tgid();
    bpf_probe_read_user(buffer, sizeof(buffer), filename);
    bpf_trace_printk("File opened by PID %d: %s\n", pid, buffer);
    return 0;
}
 
// Uprobe to scan memory for potential BTC addresses
int uprobe__malloc(struct pt_regs *ctx) {
    unsigned long size = PT_REGS_PARM2(ctx);
    void *addr = (void *)PT_REGS_PARM1(ctx);
 
    // Limit scan size to avoid excessive overhead
    if (size > 4096) return 0;
 
    char buf[64];
    bpf_probe_read_user(buf, sizeof(buf), (void *)addr);
 
    // Simple BTC address detection
    for (int i = 0; i < sizeof(buf) - 35; i++) {
        if ((buf[i] == '1' || buf[i] == '3' || buf[i] == 'b') && is_valid_btc_address(&buf[i])) {
            struct {
                u32 pid;
                char address[36];
            } data;
            data.pid = bpf_get_current_pid_tgid();
            __builtin_memcpy(data.address, &buf[i], 36);
            btc_address.perf_submit(ctx, &data, sizeof(data));
            bpf_trace_printk("Possible BTC address found by PID %d: %s\n", data.pid, data.address);
            break; // Found one, avoid reporting too many
        }
    }
 
    return 0;
}
 
 
char _license[] SEC("license") = "Dual MIT/GPL";

解释：

1. is_valid_btc_address 函数： 这是一个简化的BTC地址验证函数。真正的BTC地址验证涉及到更复杂的Base58编码校验，这里为了演示目的进行了简化。它检查地址是否以1、3或b开头（常见的BTC地址前缀），并验证长度是否在26到35个字符之间。
2. kprobe__do_sys_open 函数： 这是一个kprobe，用于监控do_sys_open系统调用。当一个进程打开文件时，它会读取文件名，并使用bpf_trace_printk打印一条跟踪消息。这可以帮助你监控哪些进程正在访问哪些文件。
3. uprobe__malloc 函数： 这是一个uprobe，附加到malloc函数。当进程调用malloc分配内存时，这个uprobe会被触发。
   • 它首先获取分配的内存地址和大小。为了避免扫描过大的内存块导致性能问题，这里限制了扫描大小为4096字节。
   • 然后，它使用bpf_probe_read_user从用户空间读取内存内容到buf缓冲区。
   • 接下来，它在缓冲区中搜索可能的BTC地址。如果找到以1、3或b开头的字符串，并且通过了is_valid_btc_address函数的验证，它就认为找到了一个可能的BTC地址。
   • 最后，它创建一个名为data的结构体，包含进程ID和找到的地址，并使用btc_address.perf_submit将数据提交到perf事件环，以便用户空间的应用程序可以读取这些数据。

3. 部署eBPF程序

将eBPF程序编译成字节码，并使用工具（如bpftool、bcc等）将其加载到内核中。例如，使用bcc工具可以简化eBPF程序的开发和部署：

from bcc import BPF
 
# 加载eBPF程序
b = BPF(src_file="miner_detector.c")
 
# 附加kprobe到finish_task_switch函数
b.attach_kprobe(event="finish_task_switch", fn_name="kprobe__finish_task_switch")
 
# 打印跟踪消息
while True:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
        print("%-18s %-6d %-16s %s" % (task, pid, msg))
    except ValueError:
        continue

4. 监控和分析数据

eBPF程序会将检测到的异常行为数据发送到用户空间。我们可以使用工具（如tcpdump、Wireshark等）来监控网络连接，并分析数据包的内容。例如，可以使用tcpdump命令来捕获与矿池服务器之间的流量：

tcpdump -i eth0 -nn -X port 3333

5. 响应和处置

一旦检测到恶意挖矿行为，我们需要及时采取措施进行响应和处置。以下是一些常见的响应措施：

• 隔离受感染的容器：将受感染的容器从网络中隔离，防止恶意行为扩散。
• 杀死挖矿进程：终止挖矿进程，释放被占用的资源。
• 分析攻击源：分析攻击日志，找出攻击源头，并采取相应的安全措施。
• 修复安全漏洞：修复导致容器被入侵的安全漏洞，防止类似事件再次发生。

优化和改进

• 动态调整阈值：根据实际情况动态调整CPU占用率、网络连接数等阈值，以提高检测准确率。
• 结合机器学习：使用机器学习算法对eBPF程序收集到的数据进行分析，自动识别恶意行为。
• 与其他安全工具集成：将eBPF程序与其他安全工具（如IDS、EDR）集成，形成更全面的安全防御体系。

总结

eBPF作为一种强大的内核技术，为容器安全提供了新的思路和方法。通过使用eBPF，我们可以实时检测容器内的恶意挖矿行为，及时采取措施进行响应和处置，保障容器环境的安全稳定运行。当然，eBPF的学习曲线比较陡峭，需要一定的内核知识和编程经验。但是，我相信随着eBPF技术的不断发展和完善，它将在容器安全领域发挥越来越重要的作用。作为SRE，我们需要不断学习和掌握新的技术，才能更好地应对日益复杂的安全挑战。