とりあえずブログ

SEとして働く会社員の雑多なブログ

rTorrentの脆弱性を狙った攻撃をキャッチ

最近DASAN Network Solutionsのホームルーター脆弱性WebLogic脆弱性を狙った攻撃ばかりで、つまんないなーと思いながらハニーポットのログを見ていたら、見慣れないログを見かけたので、ご紹介します。

そのログはこんな感じのログです。

POST /RPC2 HTTP/1.1
Content-Length: 107
Content-Type: text/xml
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0

<?xml version='1.0'?>
<methodCall>
<methodName>download_list</methodName>
<params>
</params>
</methodCall>

これは、rTorrentというBitTorrentクライアントのソフトウェアを狙った攻撃になります。

そもそもBitTorrentとは

BitTorrent(ビットトレント)は、ブラム・コーエンによって開発された、Peer to Peerを用いたファイル転送用プロトコル及びその通信を行うソフトウェアである。

BitTorrent - Wikipedia

ということで、P2Pを利用したファイル転送ソフトで、僕は初めて知りました。 どんな用途で使用されているのかは今度調べたいと思います。

rTorrentの中でもHTTPを使用して、XMLによるRPCプロトコルを許可している場合に上記コードにより攻撃を受けてしまうそうです。

XML-RPC通信を許可しているrTorrentの場合、攻撃者は上記のリクエストを投げると、下記のようなダウンロードリストのハッシュを200で受け取ります。

f:id:tkm03:20180521230027p:plain (画像印象:rTorrent Client Exploited In The Wild To Deploy Monero Crypto-Miner

その後、別のPOSTリクエストでマイン二ング用のツールを配置するようなリクエストを投げてくるそうです。

f:id:tkm03:20180521230206p:plain (画像印象:rTorrent Client Exploited In The Wild To Deploy Monero Crypto-Miner

こんな簡単にマイニング用のツールを配置できちゃうなんて怖い。。。

ある攻撃者はこの攻撃で3,900ドル(約43万円)も稼いでいるとのことで、すげぇ。。。

参考サイト f5.com