利用rTorrent安装Unix硬币矿工的黑客获利4k美元

周四，研究人员称，攻击者迄今为止正在进行一项运动，该运动正在利用流行的rTorrent应用程序在运行类Unix操作系统的计算机上安装货币挖掘软件，目前已产生3,900美元。

错误配置漏洞在某些方面与Google Project Zero研究员Tavis Ormandy最近在uTorrent和Transmission BitTorrent应用中报告的漏洞类似。概念验证攻击Ormandy开发了程序的JSON-RPC接口的弱点，允许用户访问网站来启动下载和控制其他关键功能。Ormandy的研究证明了恶意站点是如何滥用该接口在脆弱的计算机上运行恶意代码的。

针对rTorrent的疯狂攻击正在开发XML- rpc，这是一个rTorrent接口，它使用HTTP和更强大的XML来接收来自远程计算机的输入。rTorrent不要求XML-RPC的任何身份验证工作。更糟糕的是，接口可以直接在OS rTorrent上执行shell命令。

来自西雅图的安全公司F5的研究人员在一篇博客文章中称，攻击者正在扫描互联网上运行启用了RPC的rTorrent应用程序的计算机，然后利用它们来安装称为Monero的数字硬币的软件。在这篇文章即将上线的时候，攻击者钱包的余额总计为3900美元。以目前的速度，攻击者每天产生大约43美元。这是一个微不足道的数字，相比之下，一个加密矿集团的研究人员说，网币价值340万美元。

无需用户交互

针对rTorrent的攻击情况比uTorrent和Transmission更严重，因为攻击者可以利用易受攻击的rTorrent应用程序，而无需用户进行任何交互。相反，uTorrent和传输缺陷只能被用户主动访问的网站来开发。Ormandy的开发利用了一种被称为域名系统重新绑定的技术，将一个不可信的因特网域解析为本地IP。

F5一再提醒rTorrent的开发人员“明确建议不要通过TCP套接字使用RPC功能。” 这将表明缺省情况下未启用易受攻击的XML-RPC界面。许多BitTorrent用户发现这样的界面很有用，并且假设只有用过物理访问的人才能控制这些接口。至少在界面缺乏密码认证或其他深度安全措施时，由于开发人员没有提供，或者它们未由最终用户启用，所以易受DNS重新绑定或其他攻击的影响，在接口缺少密码认证或其他深层次的措施时会导致假设失效。

漏洞下载的恶意软件不仅仅运行计算和排电挖掘软件。它还扫描受感染的计算机，以寻找对手的矿工，如果发现，则试图将其移除。目前，下载的恶意软件仅被前59名反病毒软件提供商中的三家检测到。这个数字很可能会很快改变。

漏洞下载的恶意软件不仅仅运行计算和排电挖掘软件。它还扫描受感染的计算机，以寻找对手的矿工，如果发现的话，则试图移除它们。目前，下载的恶意软件仅被前59名反病毒软件提供商中的三家检测到。这个数字很可能会很快改变。

在这篇文章发布之后发送的电子邮件中，rTorrent开发人员Jari Sundell写道：

因为缺陷是由于缺乏有关启用RPC功能时暴露内容的知识，而不是代码中可修复的缺陷，因此没有补丁。从我的角度来看，总是假设用户会确保他们正确处理访问限制。 rtorrent没有启用rpc的“默认行为”，我建议使用unix套接字进行rpc。 这种情况下，失败可能是因为我创建了一个非常灵活的软件，但记录不完善，以至于常规用户不了解所有的缺陷。

运行rTorrent的人应该仔细检查他们的计算机是否有感染迹象，这可能包括消耗过多的带宽和计算能力。rTorrent用户还应确保他们遵循Sundell的建议。运行其他BitTorrent应用程序的用户也应该对RPC界面保持警惕，并在实际时关闭它们。