Hacker, die rTorrent ausnutzen, um Unix zu installieren Minenarbeiter haben bisher $ 4k verrechnet

Hacker, die rTorrent nutzen, um Unix Coin Miner zu installieren, haben bisher 4.000 US-Dollar eingespieltVergrößernElembis

Angreifer haben in einer laufenden Kampagne bisher 3.900 US-Dollar generiert Dabei wird die beliebte rTorrent-Anwendung für die Installation ausgenutzt Currency-Mining-Software auf Computern mit Unix-ähnlichem Betrieb Systeme, sagten Forscher Donnerstag.

Weitere Lektüre

BitTorrent-Benutzer aufgepasst: Mit Flaw können Hacker Ihren Computer steuern Fehlkonfigurations-Schwachstellen ähneln in mancher Hinsicht Ein Google Project Zero-Forscher, Tavis Ormandy, berichtete kürzlich in den Apps uTorrent und Transmission BitTorrent. Konzeptioneller Beweiß Angriffe Ormandy entwickelte ausgenutzte Schwächen in den Programmen JSON-RPC-Schnittstelle, die Websites ermöglicht, die ein Benutzer besucht Initiieren Sie Downloads und steuern Sie andere Schlüsselfunktionen. Ormandy’s Exploits haben gezeigt, wie bösartige Websites die Benutzeroberfläche missbrauchen können um bösartigen Code auf anfälligen Computern auszuführen.

Die In-the-Wild-Angriffe auf rTorrent sind ausnutzend XML-RPC, eine rTorrent-Schnittstelle, die HTTP verwendet und leistungsfähiger ist XML zum Empfangen von Eingaben von Remotecomputern. rTorrent tut es nicht erfordern eine Authentifizierung, damit XML-RPC funktioniert. Schlimmer noch, die Schnittstelle kann Shell-Befehle direkt auf dem Betriebssystem rTorrent ausführen läuft auf.

Weitere Lektüre

Cryptocurrency-Mining-Kriminelle, für die 3 Millionen US-Dollar aufgewendet wurden moreAttacker durchsuchen das Internet nach Computern, bei denen es sich um solche handelt Ausführen von RPC-fähigen rTorrent-Apps und anschließendes Ausnutzen dieser Apps Software installieren, die die digitale Münze namens Monero abbaut, Forscher von der in Seattle ansässigen Sicherheitsfirma F5 sagten in einem Blog Post. Zu dem Zeitpunkt, als dieser Beitrag online ging, waren die Geldbörsen der Angreifer hatte einen kombinierten Saldo von 3.900 $. Zu ihrer aktuellen Rate, die Angreifer generieren ungefähr 43 US-Dollar pro Tag. Das ist eine bescheidene Summe Im Vergleich zu einer Cryptocurrency-Mining-Gruppe sagten Forscher verrechnet Münzen im Wert von 3,4 Millionen US-Dollar.

Keine Benutzerinteraktion erforderlich

Das Angriffsszenario gegen rTorrent ist schwerwiegender als für uTorrent und Transmission, da Angreifer gefährdete Personen ausnutzen können rTorrent-Apps ohne Benutzereingriff. Das Demgegenüber könnten Strom- und Übertragungsfehler ausgenutzt werden Nur von Seiten, die ein Benutzer aktiv besucht hat. Ormandys Heldentaten verwendeten a Technik, die als Domain Name System bekannt ist nicht vertrauenswürdige Internetdomäne in die lokale IP – Adresse des Computer, auf dem eine anfällige BitTorrent-App ausgeführt wird.

F5 achtete darauf, dass der Entwickler von rTorrent “empfiehlt ausdrücklich, die RPC – Funktionalität nicht über TCP zu verwenden sockets. “Dies würde darauf hinweisen, dass die anfällige XML-RPC-Schnittstelle ist standardmäßig nicht aktiviert. Viele BitTorrent-Benutzer finden solche Schnittstellen nützlich und nehmen an, dass sie nur von jemandem gesteuert werden können mit physischem Zugriff auf den Computer, auf dem es ausgeführt wird. Die Anfälligkeit zu DNS Rebinding oder anderen Hacks macht die Vermutung ungültig, bei Zumindest dann, wenn die Schnittstelle keine Passwortauthentifizierung oder andere aufweist tiefgreifende Sicherheitsmaßnahmen, auch weil sie nicht von bereitgestellt werden der Entwickler oder sie sind nicht von Endbenutzern aktiviert.

Die Malware, die der Exploit herunterlädt, läuft nicht nur rechen- und Bergbau-Software zur Stromableitung. Es wird auch infiziert gescannt Computer für konkurrierende Bergleute und versucht, sie zu entfernen, falls sie gefunden werden. Derzeit wird die heruntergeladene Malware nur von drei erkannt die Top 59 Antiviren-Anbieter. Diese Zahl wird sich wahrscheinlich ändern bald.

In einer E-Mail, die gesendet wurde, nachdem dieser Beitrag online ging, schrieb rTorrent developer Jari Sundell schrieb:

Es gibt keinen Patch, da die Sicherheitsanfälligkeit auf einem Mangel von beruht Wissen darüber, was beim Aktivieren der RPC-Funktionalität angezeigt wird, eher als ein behebbarer Fehler im Code. Es wurde immer angenommen, von meiner meinung nach würde der benutzer dafür sorgen, dass sie richtig gehandhabt werden Zugangsbeschränkung.

Kein ‘Standardverhalten’ für rpc wird von rtorrent und using aktiviert Unix-Sockets für RPC empfehle ich.

Der Fehler in diesem Fall ist vielleicht, dass ich ein Stück von erstellt habe Software, die sehr flexibel ist, aber nicht gut genug dokumentiert Stammnutzer verstehen alle Fallstricke.

Personen, die rTorrent ausführen, sollten ihre Computer sorgfältig überprüfen für Anzeichen einer Infektion, die wahrscheinlich übermäßige Mengen von verbrauchte Bandbreite und Rechenleistung. rTorrent-Benutzer sollten Stellen Sie außerdem sicher, dass sie Sundells Rat befolgen. Leute rennen Andere BitTorrent-Apps sollten ebenfalls vorsichtig mit der RPC-Oberfläche umgehen und deaktivieren Sie sie, wann immer es sinnvoll ist.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: