Forwarded from Sys-Admin InfoSec
Secure BLD: Защита от оверлимитных запросов
За последнее время было замечено злоупотребление ресурсами BLD DNS, как это выглядит:
1. Штатное состояние - Опытным путем выявлено: 10к-20к запросов в час, это штатная работа средней организации.
2. Злоупотребление - Превышение максимально-допустимого количества запросов, например 20к+ запросов в час.
Как пример - NextDNS платная подписка начинается с 300к запросов в месяц. Штатное состояние BLD DNS покрывает месячный лимит NextDNS менее, чем за двое суток 🤘
Есть клиенты сервиса генерирующие по 100к запросов в час‼️, пропускная способность BLD DNS позволяет выдерживать хорошие нагрузки. Несколько миллионов в сутки - штатная работа BLD на сегодняшний день, но благодаря злоупотреблению суточная норма, легко превращается в часовой показатель, это не есть хорошо.
Возражений нет - задонать, уведомь и будем решать, если надо сделаем выделенный инстанс, не проблема (донаты вообще не воспрещаются, а даже приветсвуются, так как поддержка сервиса идет за счет внутренних ресурсов проекта).
Так же есть BLD+ (об этом пару месяцев назад был анонс), поэтому - welcome.
Превентивные меры
Вчера прилетело ~300к запросов за час сразу с нескольких IP адресов, стало понятно, что нужно что-то делать:
- Был разработан механизм автоматической блокировки абьюсеров 🎉
- На сегодня (пока) работает по формуле - 20000k запров в 1 час = бан 10 минут (кто будет отваливаться, сразу ко мне @sysadminkz, будем решать)
- Решение имеет "белые списки", так что оверлимитчикам welcome to donate area
- Решение полностью автономное, работает в автоматическом режиме.
Note: Кто знает, что у него генерится большое количество запросов и знает свой IP, можно заблаговременно обратиться ко мне.
~~~ EN
Recently, abuse of BLD DNS resources has been noticed, how it looks like:
1. Legitimate state - Experimentally revealed: 10k-20k requests per hour, this is the regular work of an medium organization.
2. Abuse - Exceeding the maximum allowable number of requests, for example 20k+ requests per hour.
As an example - NextDNS paid subnoscription starts with 300k requests per month. The regular state of BLD DNS covers the monthly NextDNS limit in less than two days 🤘
Today, there are clients of the service generating 100k requests per hour‼️, the bandwidth of BLD DNS allows to work with hight loads. Several million per day is the regular work of BLD today, but thanks to the abuse of the daily norm, it easily turns into an hourly norm, this is not good.
No objections - donate, and notify me and we will decide what we need to do, no problem(donations are not prohibited at all, but even welcome, since the support of the service comes at the expense of the internal resources of the project).
BLD+ mode specifically created for overlimits (there was an announcement about this a couple of months ago (https://news.1rj.ru/str/sysadm_in_channel/3740 )), therefore - welcome.
Preventive measures
Yesterday BLD received ~300k requests arrived in an hour from several IP addresses at once, it became clear that something needed to be done:
- The mechanism of automatic blocking of abusers was developed 🎉
- Today (so far) it works according to the formula - 20000k requests in 1 hour = ban 10 minutes (who will fall off, immediately contact me @sysadminkz, we will decide)
- The solution has "whitelists", so the are welcome to donate area and then welcome to BLD back.
- The blocking solution is completely autonomous, works in automatic mode.
Note: Who knows that he generates a large number of requests and knows own IP, you can contact me in advance.
Take you care. PEACE ✌️
За последнее время было замечено злоупотребление ресурсами BLD DNS, как это выглядит:
1. Штатное состояние - Опытным путем выявлено: 10к-20к запросов в час, это штатная работа средней организации.
2. Злоупотребление - Превышение максимально-допустимого количества запросов, например 20к+ запросов в час.
Как пример - NextDNS платная подписка начинается с 300к запросов в месяц. Штатное состояние BLD DNS покрывает месячный лимит NextDNS менее, чем за двое суток 🤘
Есть клиенты сервиса генерирующие по 100к запросов в час‼️, пропускная способность BLD DNS позволяет выдерживать хорошие нагрузки. Несколько миллионов в сутки - штатная работа BLD на сегодняшний день, но благодаря злоупотреблению суточная норма, легко превращается в часовой показатель, это не есть хорошо.
Возражений нет - задонать, уведомь и будем решать, если надо сделаем выделенный инстанс, не проблема (донаты вообще не воспрещаются, а даже приветсвуются, так как поддержка сервиса идет за счет внутренних ресурсов проекта).
Так же есть BLD+ (об этом пару месяцев назад был анонс), поэтому - welcome.
Превентивные меры
Вчера прилетело ~300к запросов за час сразу с нескольких IP адресов, стало понятно, что нужно что-то делать:
- Был разработан механизм автоматической блокировки абьюсеров 🎉
- На сегодня (пока) работает по формуле - 20000k запров в 1 час = бан 10 минут (кто будет отваливаться, сразу ко мне @sysadminkz, будем решать)
- Решение имеет "белые списки", так что оверлимитчикам welcome to donate area
- Решение полностью автономное, работает в автоматическом режиме.
Note: Кто знает, что у него генерится большое количество запросов и знает свой IP, можно заблаговременно обратиться ко мне.
~~~ EN
Recently, abuse of BLD DNS resources has been noticed, how it looks like:
1. Legitimate state - Experimentally revealed: 10k-20k requests per hour, this is the regular work of an medium organization.
2. Abuse - Exceeding the maximum allowable number of requests, for example 20k+ requests per hour.
As an example - NextDNS paid subnoscription starts with 300k requests per month. The regular state of BLD DNS covers the monthly NextDNS limit in less than two days 🤘
Today, there are clients of the service generating 100k requests per hour‼️, the bandwidth of BLD DNS allows to work with hight loads. Several million per day is the regular work of BLD today, but thanks to the abuse of the daily norm, it easily turns into an hourly norm, this is not good.
No objections - donate, and notify me and we will decide what we need to do, no problem(donations are not prohibited at all, but even welcome, since the support of the service comes at the expense of the internal resources of the project).
BLD+ mode specifically created for overlimits (there was an announcement about this a couple of months ago (https://news.1rj.ru/str/sysadm_in_channel/3740 )), therefore - welcome.
Preventive measures
Yesterday BLD received ~300k requests arrived in an hour from several IP addresses at once, it became clear that something needed to be done:
- The mechanism of automatic blocking of abusers was developed 🎉
- Today (so far) it works according to the formula - 20000k requests in 1 hour = ban 10 minutes (who will fall off, immediately contact me @sysadminkz, we will decide)
- The solution has "whitelists", so the are welcome to donate area and then welcome to BLD back.
- The blocking solution is completely autonomous, works in automatic mode.
Note: Who knows that he generates a large number of requests and knows own IP, you can contact me in advance.
Take you care. PEACE ✌️
RIUS - RTLO Injection URI Spoofing CVE-2020-20093; 20094; 20095; 20096
https://github.com/zadewg/RIUS
https://github.com/zadewg/RIUS
GitHub
GitHub - zadewg/RIUS: CVE-2020-20093; 20094; 20095; 20096, 2022-28345 RTLO Injection URI Spoofing
CVE-2020-20093; 20094; 20095; 20096, 2022-28345 RTLO Injection URI Spoofing - GitHub - zadewg/RIUS: CVE-2020-20093; 20094; 20095; 20096, 2022-28345 RTLO Injection URI Spoofing
In this blog post, we will show you how you can easily create a clone of Instagram using Stream Feeds and Flutter..
https://levelup.gitconnected.com/coding-an-instagram-clone-with-flutter-and-feeds-50e3d9a7506e
https://levelup.gitconnected.com/coding-an-instagram-clone-with-flutter-and-feeds-50e3d9a7506e
Medium
Coding an Instagram Clone With Flutter and Feeds
In this blog post, we will show you how you can easily create a clone of Instagram using Stream Feeds and Flutter.
Breaking down the Jupyter Notebook ransomware attack
https://blog.aquasec.com/python-ransomware-jupyter-notebook
https://blog.aquasec.com/python-ransomware-jupyter-notebook
Aqua
Threat Alert: First Python Ransomware Attack Targeting Jupyter Notebooks
Team Nautilus uncovered and analyzed the first Python-based ransomware attack that targets misconfigured Jupyter Notebooks in the wild and encrypts files.
Assessing Security and Privacy Controls in Information Systems and Organizations from NIST (Jan, 2022)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar5.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar5.pdf
https://www.praetorian.com/blog/spring-core-jdk9-rce/
PoC (Chinese):
https://github.com/mcdulltii/SpringShell_0-day
PoC (Chinese):
https://github.com/mcdulltii/SpringShell_0-day
Praetorian
Spring Core on JDK9+ is vulnerable to remote code execution
Update: March 31, 2022 A patch has officially been released. https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://tanzu.vmware.com/security/cve-2022-22965 Overview Spring Core on JDK9+ is vulnerable to remote code execution due…
CVE-2022-0778
The discovered vulnerability triggers an infinite loop in the function BN_mod_sqrt() of OpenSSL while parsing an elliptic curve key. This means that a maliciously crafted X.509 certificate can DoS any unpatched server.
PoC
https://github.com/drago-96/CVE-2022-0778
The discovered vulnerability triggers an infinite loop in the function BN_mod_sqrt() of OpenSSL while parsing an elliptic curve key. This means that a maliciously crafted X.509 certificate can DoS any unpatched server.
PoC
https://github.com/drago-96/CVE-2022-0778
GitHub
GitHub - drago-96/CVE-2022-0778: Proof of concept for CVE-2022-0778, which triggers an infinite loop in parsing X.509 certificates…
Proof of concept for CVE-2022-0778, which triggers an infinite loop in parsing X.509 certificates due to a bug in BN_mod_sqrt - drago-96/CVE-2022-0778
Ransomware Deploys Novel IPfuscation Technique To Avoid Detection
https://www.sentinelone.com/blog/hive-ransomware-deploys-novel-ipfuscation-technique/
https://www.sentinelone.com/blog/hive-ransomware-deploys-novel-ipfuscation-technique/
SentinelOne
From the Front Lines | Hive Ransomware Deploys Novel IPfuscation Technique To Avoid Detection
Learn how the Hive ransomware gang are using a simple yet effective obfuscation method to beat unwary enterprise defenses.
Forwarded from Sys-Admin InfoSec
BLD DNS: What's new and useful added in the project ecosystem / Что нового и полезного появилось в экосистеме проекта
~~~RU
Экосистема постоянно обновляется, допиливается, усовершенствуется, сам проект обрастает дополнительными инструментами (pat 1), сегодня хочу представить еще ряд тулз, которые могут быть полезны и вам:
- Blinker - асинхронно пингует сервера, резольвит IP адреса, проверяет скорость ответа (в будущем планируется развить до автоматических уведомлений, например в телеграм)
- BLD-Server - конфигурируемый апдейтер BLD серверов (как правило используется для вспомогательных downstream cерверов), качает указанные в конфиге листы, вычищает их от комментов и тп, объединяет, сортирует и публикует, как итог - один лист для каждой категории, меньше размера, меньше файлов)
- Simple Log Color - NPM пакет. Раскрашиватель аутпут лога в консоль
- Fix Appstream - Фиксит ошибку CentOS 8 (Error: Failed to download metadata for repo 'appstream’). Ошибка блокирует нормальный апедйт серверов.
- Fix Locales - Фиксит ошибку баш консоли в Debian в отношении локали (LCALL: cannot change locale (enUS.UTF-8)
- Apt Automatic - Настраивает автоапдейтинг Debian при помощи unattended-upgrades
- Install Node Exporter - Ставит последнию версию экспортера в Debian
~~~EN
BLD DNS ecosystem is constantly updated, completed, improved, the project itself is overgrown with additional tools (pat 1), today I want to present a few number of tools that may be useful to you:
- Blinker - asynchronously pings servers, resolves IP addresses, checks response speed (in the future it is planned to develop to automatic notifications, for example, in telegrams)
- BLD-Server - configurable BLD server updater (usually used for auxiliary downstream servers), downloads the lists specified in the config, cleans them from comments, etc., merges, sorts and publishes, as a result - one sheet for each category, smaller size, fewer files)
- Simple Log Color - NPM package. Colorizer output log to console
- Fix Appstream - Fixes CentOS 8 error (Error: Failed to download metadata for repo 'appstream'). Error blocking normal server update.
- Fix Locales - Fixes bash console error in Debian (LCALL: cannot change locale (enUS.UTF-8)
- Apt Automatic - Configures Debian autoupgrade with unattended-upgrades
- Install Node Exporter - Install latest Node Exporter in to Debian
~~~RU
Экосистема постоянно обновляется, допиливается, усовершенствуется, сам проект обрастает дополнительными инструментами (pat 1), сегодня хочу представить еще ряд тулз, которые могут быть полезны и вам:
- Blinker - асинхронно пингует сервера, резольвит IP адреса, проверяет скорость ответа (в будущем планируется развить до автоматических уведомлений, например в телеграм)
- BLD-Server - конфигурируемый апдейтер BLD серверов (как правило используется для вспомогательных downstream cерверов), качает указанные в конфиге листы, вычищает их от комментов и тп, объединяет, сортирует и публикует, как итог - один лист для каждой категории, меньше размера, меньше файлов)
- Simple Log Color - NPM пакет. Раскрашиватель аутпут лога в консоль
- Fix Appstream - Фиксит ошибку CentOS 8 (Error: Failed to download metadata for repo 'appstream’). Ошибка блокирует нормальный апедйт серверов.
- Fix Locales - Фиксит ошибку баш консоли в Debian в отношении локали (LCALL: cannot change locale (enUS.UTF-8)
- Apt Automatic - Настраивает автоапдейтинг Debian при помощи unattended-upgrades
- Install Node Exporter - Ставит последнию версию экспортера в Debian
~~~EN
BLD DNS ecosystem is constantly updated, completed, improved, the project itself is overgrown with additional tools (pat 1), today I want to present a few number of tools that may be useful to you:
- Blinker - asynchronously pings servers, resolves IP addresses, checks response speed (in the future it is planned to develop to automatic notifications, for example, in telegrams)
- BLD-Server - configurable BLD server updater (usually used for auxiliary downstream servers), downloads the lists specified in the config, cleans them from comments, etc., merges, sorts and publishes, as a result - one sheet for each category, smaller size, fewer files)
- Simple Log Color - NPM package. Colorizer output log to console
- Fix Appstream - Fixes CentOS 8 error (Error: Failed to download metadata for repo 'appstream'). Error blocking normal server update.
- Fix Locales - Fixes bash console error in Debian (LCALL: cannot change locale (enUS.UTF-8)
- Apt Automatic - Configures Debian autoupgrade with unattended-upgrades
- Install Node Exporter - Install latest Node Exporter in to Debian
Colorize output console.log colors in Node.js
Few time ago I created NPM package, named as - SIMPLE LOG COLOR this package can easy set color to text in to Node console.log().
https://sys-adm.in/en/169-coding-en/975-colorize-output-console-log-colors-in-node-js.html
RU > Красим аутпуты в разные цвета в Node console.log при помощи Simple Log Color
https://sys-adm.in/170-coding/974-krasim-outputy-v-raznye-tsveta-v-node-console-log-pri-pomoshchi-simple-log-color.html
Few time ago I created NPM package, named as - SIMPLE LOG COLOR this package can easy set color to text in to Node console.log().
https://sys-adm.in/en/169-coding-en/975-colorize-output-console-log-colors-in-node-js.html
RU > Красим аутпуты в разные цвета в Node console.log при помощи Simple Log Color
https://sys-adm.in/170-coding/974-krasim-outputy-v-raznye-tsveta-v-node-console-log-pri-pomoshchi-simple-log-color.html
A Syscall Journey in the Windows Kernel
https://alice.climent-pommeret.red/posts/a-syscall-journey-in-the-windows-kernel/
https://alice.climent-pommeret.red/posts/a-syscall-journey-in-the-windows-kernel/
How to run shellcode with IIS - SOAP
This page describes how to run shellcode from a webshell with a .soap extension. Sometimes web applications use upload blacklists and forget about this extension type.
https://red.0xbad53c.com/red-team-operations/initial-access/webshells/iis-soap
This page describes how to run shellcode from a webshell with a .soap extension. Sometimes web applications use upload blacklists and forget about this extension type.
https://red.0xbad53c.com/red-team-operations/initial-access/webshells/iis-soap
0Xbad53C
IIS - SOAP | Navigating The Shadows
This page describes how to run shellcode from a webshell with a .soap extension. Sometimes web applications use upload blacklists and forget about this extension type.
/ Deep Dive Analysis – Borat RAT
Remote Access Trojan Capable Of Conducting Ransomware & DDOS Activities
https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/
Remote Access Trojan Capable Of Conducting Ransomware & DDOS Activities
https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/
Cyble
Deep Dive Analysis – Borat RAT | Cyble
Cyble Research Labs analyzes Borat , a sophisticated RAT variant that boasts a combination of Remote Access Trojan, Spyware, Ransomware and DDoS capabilities.
/ Malware Specifically Targeting AWS Lambda
https://www.cadosecurity.com/cado-discovers-denonia-the-first-malware-specifically-targeting-lambda/
P.S. Malware domains already blocked in BLD DNS https://lab.sys-adm.in
https://www.cadosecurity.com/cado-discovers-denonia-the-first-malware-specifically-targeting-lambda/
P.S. Malware domains already blocked in BLD DNS https://lab.sys-adm.in
Darktrace
Solve Cloud Forensics at Scale
Darktrace has acquired Cado security, a cyber investigation and response solution provider and leader in cloud data capture and forensics.