🌎 Minecraft servers as a botnet for DDoS attack L7

Решил я значит спустя много лет просто поиграть в майкрафт на пиратских серверах, но видимо просто играть я не умею, в результате я случайно обнаружил уязвимость которая позволяет делать из серверов систему для DDoS атак.

♾ Plugin SkinsRestorer
Данная уязвимость была обнаружена в плагине который позволяет сменить внешность персонажа, эксплуатация довольно простая, нужно всего лишь в чат написать команду /skin url ссылка_на_скин. Мне стало интересно, какие запросы вообще прилетают. Я вставил туда ссылку из interactsh и поймал пару запросов. В запросах ничего особенного, мое внимание привлекло то, что запросы отправляются с разных IP адресов, которые ничего общего с серверами не имеют, чем не классический DDoS? Подумал я и пошел проверять. Долго исследовать и шерстить код я не стал, мне был интересен импакт

🌳 DDoS Attack
Оказалось в Minecraft серверах есть спам-боты и их устройство довольно простое: есть некий C2 сервер с которого они управляются, именно с него указывают на какой сервер заходить ботам, в каком количестве и какую команду или текст нужно спамить в чат. Их обычно используют малые сервера для похищения онлайна с более крупных серверов. По случайному стечению обстоятельств я познакомился человеком который владеет этим всем и я его попросить в качестве эксперимента устроить атаку на мой тестовый сайт с которого я потом и мониторил нагрузку.

🔥 Impact
Мой тестовый сайт был без защит от DDoS атак. С 1 сервера где находились 20 спам-ботов, которые спамили команду на протяжении 30 минут, это нагрузило процессор на 18%. А вот суммарно 300 ботов, которые находились на 3 разных серверах смогли нагрузить процессор на 100% и в конечном итоге вывести мой сайт из строя 🐷

📌 Минусы
Это трудозатратно и вряд-ли положит современное веб-приложение наподобие paypal, но при должном количестве ботов и сервером с такой уязвимостью, вполне себе сможет положить обыкновенный сайт

ЧТНП | #блабла

🌐 Baitroute — это библиотека, разработанная для создания реалистичных, но фиктивных уязвимых конечных точек в веб-приложениях!

🌟 Ее цель — выявлять попытки сканирования уязвимостей и вводить злоумышленников в заблуждение, предоставляя ложные положительные результаты. Библиотека поддерживает интеграцию с популярными веб-фреймворками на языках Go, Python и JavaScript, такими как net/http, Flask и Express. Она поставляется с набором готовых правил, которые можно настроить под конкретные требования, и позволяет отправлять оповещения при попытках доступа к фиктивным конечным точкам.

🔐 Лицензия: GPL-3.0

🖥 Github

@linuxkalii

Настало время уязвимостей

Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).

Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.

Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.

Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.

Ну а вот и эти платформы-агрегаторы 👇

📂 CVE Crowd – один из самых популярных сервисов

📂 CVE Shield – один из самых старых агрегаторов

📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни

📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки

📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее

Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.

#BaseSecurity #AppSec #DevSecOps #Pentest

🧠 Твой Пакет Знаний | 🛍 Другие каналы