{"id":226,"date":"2019-05-22T06:59:37","date_gmt":"2019-05-22T09:59:37","guid":{"rendered":"https:\/\/www.guardti.com.br\/blog\/?p=226"},"modified":"2019-05-23T11:41:34","modified_gmt":"2019-05-23T14:41:34","slug":"analisando-o-malware-bondupdater","status":"publish","type":"post","link":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/","title":{"rendered":"Analisando o Malware Bondupdater"},"content":{"rendered":"\n

Tempos atr\u00e1s fiquei curioso em saber como \u00e9 um artefato malicioso de cyberataque n\u00e3o-brasileiro. Procurando por atores de fora do Brasil, encontrei uma reportagem<\/a> falando sobre um grupo internacional. \u00c9 sobre um grupo APT chamado OilRig, que usam um trojan chamado Bondupdater e tem como foco governos no oriente m\u00e9dio.<\/p>\n\n\n\n

Isto chamou a minha curiosidade e comecei a pesquisar por hashes<\/em>, e quando encontrei, comecei a analisar. Com o artefato em m\u00e3os, pude ver se tratar de um arquivo MS Office doc. <\/p>\n\n\n\n

Arquivos MS Office s\u00e3o uma maneira f\u00e1cil de entregar malwares, pois podem ser usados os chamados Macros: Scripts que s\u00e3o executados ap\u00f3s a abertura do arquivo pela vitima. <\/p>\n\n\n\n

Uma vez aberto o arquivo, um script macro inicia uma cadeia de processos.<\/p>\n\n\n\n

\"Verifica\u00e7\u00e3o
Verifica\u00e7\u00e3o do tipo de arquivo<\/figcaption><\/figure>\n\n\n\n

Fase 1 – Macros <\/strong><\/h2>\n\n\n\n

Frequentemente, muitos malware entregues via arquivos doc ou xls possuem macros. Para saber se nosso arquivo possui um, \u00e9 poss\u00edvel verificar com o oletools<\/em>, uma su\u00edte de ferramentas escrita em python3. <\/p>\n\n\n\n

\"Comprovando
Comprovando a exist\u00eancia de macros<\/figcaption><\/figure>\n\n\n\n

Na imagem acima, oletools<\/em> nos mostrou que existe um VBA Macro. Usando o olevba<\/em> podemos trazer mais indicadores de compromisso, expondo os nomes dos arquivos que s\u00e3o criados pelo VBA Macro.<\/p>\n\n\n\n

\"Usando
Usando olevba para buscar indicadores<\/figcaption><\/figure>\n\n\n\n

Existem muitas coisas suspeitas neste arquivo. Quando o arquivo for aberto, h\u00e1 uma tarefa AutoExec<\/em> que ser\u00e1 executada logo em seguida com atividades suspeitas de execu\u00e7\u00e3o de comandos, como wscript, e o nome dos supostos arquivos a serem criados, AppPool.ps1 e AppPool.vbs; o DNS do Google e um IP em nome de Rogers Communications.<\/p>\n\n\n\n

Mas para obter esses arquivos, n\u00e3o precisamos abrir o arquivo, podemos ainda\nusar o oletools<\/em>.<\/p>\n\n\n\n

Ap\u00f3s exportar o script<\/em> que \u00e9 executado, \u00e9 poss\u00edvel observar que se trata de um VBS. Ap\u00f3s uma r\u00e1pida leitura, \u00e9 poss\u00edvel perceber que este VBS cria outros dois arquivos, AppPool.ps1 e AppPool.vbs.<\/p>\n\n\n\n

\"Script
Script exportado do arquivo doc<\/figcaption><\/figure>\n\n\n\n

Na linha 13 e 54, constam refer\u00eancias aos arquivos que ser\u00e3o criados. Este VBS possui 3 m\u00e9todos que est\u00e3o com uma leve ofusca\u00e7\u00e3o que s\u00e3o executados na seguinte ordem: <\/p>\n\n\n\n

VVVV: Cria a estrutura de diret\u00f3rios onde ser\u00e3o criados os arquivos, em C:\\ProgramData\\Windows\nAppPool\\<\/em> ;<\/p>\n\n\n\n

AAAA: Cria o arquivo VBS chamado AppPool.vbs;<\/p>\n\n\n\n

HGHG:  Cria o arquivo powershell chamado AppPool.ps1. <\/p>\n\n\n\n

Fase 2 – A Persist\u00eancia<\/strong><\/h2>\n\n\n\n

O script<\/em> macro cria a estrutura C:\\ProgramData\\Windows AppPool\\,<\/em> onde ser\u00e3o criados os outros arquivos: o primeiro arquivo \u00e9 o VBS; o segundo, o powershell, que de fato \u00e9 o malware BONDUPDATER; por fim, wscript<\/em> na linha 17 executa o arquivo VBS.<\/p>\n\n\n\n

AppPool.vbs \u00e9 f\u00e1cil de entender.<\/p>\n\n\n\n

\"Entendendo
Entendendo AppPool.vbs<\/figcaption><\/figure>\n\n\n\n

Este script cria uma tarefa no Windows como mecanismo de persist\u00eancia. Um diret\u00f3rio chamado \u201cWindowsAppPool\u201d e uma tarefa \u201cAppPool\u201d s\u00e3o criados no agendamento. Esta tarefa executa AppPool.vbs a cada 1 minuto (sim! Ele executa a si pr\u00f3prio, apenas para chamar o powershell). <\/p>\n\n\n\n

\"Tarefa
Tarefa criada no windows<\/figcaption><\/figure>\n\n\n\n

Fase 3 \u2013 A for\u00e7a do powershell<\/strong><\/h2>\n\n\n\n

No powershell \u00e9 onde m\u00e1gica acontece! Obviamente, eles n\u00e3o facilitaram, est\u00e1\npesadamente ofuscado! Se voc\u00ea tentar mexer demais, o script p\u00e1ra de funcionar.<\/p>\n\n\n\n

O script powershell cria outros subdiret\u00f3rios e realiza consultas DNS. O nome usado na cria\u00e7\u00e3o dos subdiret\u00f3rios \u00e9 utilizado para compor as consultas DNS.<\/p>\n\n\n\n

\"Rela\u00e7\u00e3o
Rela\u00e7\u00e3o entre diret\u00f3rios e URL DNS<\/figcaption><\/figure>\n\n\n\n

A imagem acima demonstra como a consulta DNS \u00e9 criada. AppPool.ps1 cria um diret\u00f3rio de nome rand\u00f4mico, esse nome \u00e9 usado para criar a URL a ser registrada no dom\u00ednio withyourface.com<\/em>. As partes do nome do diret\u00f3rio comp\u00f5e a URL gerada. <\/p>\n\n\n\n

Neste script powershell, h\u00e1 uma refer\u00eancia ao IP 99.250.250.199. Como o Command&Control<\/em> j\u00e1 se encontra fora do ar no momento em que esta postagem \u00e9 escrita, n\u00e3o foi poss\u00edvel compreender como \u00e9 o relacionamento com esse IP. Mas sabemos que o dom\u00ednio withyourface.com<\/em> esteve assinado para dois IPs , 178.32.127.230 e 185.181.8.158, seu \u00faltimo sinal de vida foi em 28\/04\/2019, de acordo com RiskIQ. <\/p>\n\n\n\n

\"Analisando
Analisando withyourface.com com RISQIQ<\/figcaption><\/figure>\n\n\n\n

Para o IP  99.250.250.199, podemos observar 5 resolu\u00e7\u00f5es para o dom\u00ednio withyourface.com<\/em> e este IP foi visto pela \u00faltima vez em 02\/01\/2019, o que n\u00e3o parece fazer muito sentido, por enquanto.<\/p>\n\n\n\n

\"Analisando
Analisando IP com RISKIQ<\/figcaption><\/figure>\n\n\n\n

Em sua execu\u00e7\u00e3o correta, AppPool.ps1 atua como um backdoor. Operando sob DNS\nTunneling.<\/p>\n\n\n\n

No DNS Tunneling, a v\u00edtima envia dados a um servidor DNS malicioso usando consultas enviadas dentro dos datagramas UDP, extraviando dados. Para entender melhor o funcionamento do DNS tunneling, recomendo este v\u00eddeo<\/a> e este artigo<\/a> do SANS.<\/p>\n\n\n\n

Infelizmente, at\u00e9 o momento desta an\u00e1lise, o dom\u00ednio estava fora do ar ent\u00e3o n\u00e3o foi poss\u00edvel entender exatamente como AppPool.ps1 recebe comandos e arquivos. Subdiret\u00f3rios s\u00e3o criados com nomes sugestivos, como files<\/em>, receivebox,<\/em> e sendbox, <\/em>por\u00e9m, sua opera\u00e7\u00e3o \u00e9 inconclusiva. A seguir, est\u00e1 uma representa\u00e7\u00e3o dos diret\u00f3rios criados. <\/p>\n\n\n\n

\"Estrutura

Estrutura de diret\u00f3rios criada<\/figcaption><\/figure>\n\n\n\n

Importante lembrar que em cada m\u00e1quina, um novo nome ser\u00e1 gerado abaixo do diret\u00f3rio raiz da aplica\u00e7\u00e3o.<\/p>\n\n\n\n

Conclus\u00e3o<\/strong><\/h2>\n\n\n\n

Arquivos MS Office (pst, doc, xls) podem conter scripts maliciosos, estes\nscripts s\u00e3o executados no momento em que o arquivo \u00e9 aberto.<\/p>\n\n\n\n

Uma vez aberto, estes scripts executam uma cadeia de processos a fim de\ninstalar outras partes do malware e dar continuidade ao ataque.<\/p>\n\n\n\n

Se a empresa n\u00e3o possui uma r\u00edgida solu\u00e7\u00e3o de DLP (Data Loss Prevention) impedindo transfer\u00eancias de arquivos (potencialmente maliciosos) via USB ou bluethooth, proteger-se de ataques desse tipo pode ser mais complicado do que parece; evitar essa transfer\u00eancia de arquivos de dispositivos m\u00f3veis para computadores internos \u00e9 ainda um grande desafio, pois muitas empresas n\u00e3o possuem tais solu\u00e7\u00f5es de DLP.<\/p>\n\n\n\n

Outro ponto estrat\u00e9gico \u00e9 no servidor de email. Pode-se tanto barrar\ndefinitivamente qualquer arquivo contendo Macro quanto enviar o arquivo para\numa sandbox e, dependendo dos IoCs, entregar ou n\u00e3o o arquivo ao destinat\u00e1rio.<\/p>\n\n\n\n

Obviamente, isso n\u00e3o torna a empresa segura, pois mesmo aplicando filtro no servidor de e-mails, ainda h\u00e1 uma brecha. Como por exemplo, um link de refer\u00eancia dentro do arquivo que aponta para uma URL que realiza download, de maneira \u201cencodada<\/em>\u201d em base64, de um arquivo malicioso.<\/p>\n\n\n\n

Aplica\u00e7\u00f5es web tamb\u00e9m s\u00e3o frequentemente utilizadas para disseminar malwares. \u00c9 importante cada organiza\u00e7\u00e3o tomar os devidos cuidados com seus sites, monitorando e promovendo varreduras que identificam vulnerabilidades e\/ou arquivos infectados.<\/p>\n\n\n\n

As organiza\u00e7\u00f5es que observarem os aspectos acima estar\u00e3o com certeza mais protegidas contra tais amea\u00e7as.<\/p>\n\n\n\n

IoC<\/strong> <\/p>\n\n\n\n

File:    malicious.doc
MD5: 52b6e1ef0d079f4c2572705156365c06
File:    AppPool.ps1
MD5:  8923e22e812af764a150a804a7358184
File:    AppPool.vbs
MD5:  77d21a5e3a0620f4424acf38f1cf2c35
Domain: withyourface.com
RiskIQ: https:\/\/community.riskiq.com\/search\/withyourface.com<\/a>
IP: 99.250.250.199
RiskIQ: https:\/\/community.riskiq.com\/search\/99.250.250.199 <\/p>\n","protected":false},"excerpt":{"rendered":"

Tempos atr\u00e1s fiquei curioso em saber como \u00e9 um artefato malicioso de cyberataque n\u00e3o-brasileiro. Procurando por atores de fora do Brasil, encontrei uma reportagem falando sobre um grupo internacional. \u00c9 sobre um grupo APT chamado OilRig, que usam um trojan chamado Bondupdater e tem como foco governos no oriente m\u00e9dio. Isto chamou a minha curiosidade […]<\/p>\n","protected":false},"author":5,"featured_media":272,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[2],"tags":[],"yoast_head":"\nAnalisando o Malware Bondupdater - GUARD - Seu neg\u00f3cio mais seguro<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Analisando o Malware Bondupdater - GUARD - Seu neg\u00f3cio mais seguro\" \/>\n<meta property=\"og:description\" content=\"Tempos atr\u00e1s fiquei curioso em saber como \u00e9 um artefato malicioso de cyberataque n\u00e3o-brasileiro. Procurando por atores de fora do Brasil, encontrei uma reportagem falando sobre um grupo internacional. \u00c9 sobre um grupo APT chamado OilRig, que usam um trojan chamado Bondupdater e tem como foco governos no oriente m\u00e9dio. Isto chamou a minha curiosidade […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/\" \/>\n<meta property=\"og:site_name\" content=\"GUARD - Seu neg\u00f3cio mais seguro\" \/>\n<meta property=\"article:published_time\" content=\"2019-05-22T09:59:37+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2019-05-23T14:41:34+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"480\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Victor Neves\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Victor Neves\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/\",\"url\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/\",\"name\":\"Analisando o Malware Bondupdater - GUARD - Seu neg\u00f3cio mais seguro\",\"isPartOf\":{\"@id\":\"https:\/\/www.guardti.com.br\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg\",\"datePublished\":\"2019-05-22T09:59:37+00:00\",\"dateModified\":\"2019-05-23T14:41:34+00:00\",\"author\":{\"@id\":\"https:\/\/www.guardti.com.br\/blog\/#\/schema\/person\/dd00a154fadac2b71c7899bf72ee5289\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#primaryimage\",\"url\":\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg\",\"contentUrl\":\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg\",\"width\":1200,\"height\":480,\"caption\":\"An\u00e1lise de Malware\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/www.guardti.com.br\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Analisando o Malware Bondupdater\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.guardti.com.br\/blog\/#website\",\"url\":\"https:\/\/www.guardti.com.br\/blog\/\",\"name\":\"GUARD - Seu neg\u00f3cio mais seguro\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.guardti.com.br\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.guardti.com.br\/blog\/#\/schema\/person\/dd00a154fadac2b71c7899bf72ee5289\",\"name\":\"Victor Neves\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.guardti.com.br\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/66e80d5bf7fee59d79389c31ac8a2480?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/66e80d5bf7fee59d79389c31ac8a2480?s=96&d=mm&r=g\",\"caption\":\"Victor Neves\"},\"description\":\"Amante do mundo do hackerismo; Com background em desenvolvimento em java, python e powershell, hoje, se dedica a an\u00e1lise de malware e threat intelligence.\",\"url\":\"https:\/\/www.guardti.com.br\/blog\/author\/victorneves\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Analisando o Malware Bondupdater - GUARD - Seu neg\u00f3cio mais seguro","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/","og_locale":"pt_BR","og_type":"article","og_title":"Analisando o Malware Bondupdater - GUARD - Seu neg\u00f3cio mais seguro","og_description":"Tempos atr\u00e1s fiquei curioso em saber como \u00e9 um artefato malicioso de cyberataque n\u00e3o-brasileiro. Procurando por atores de fora do Brasil, encontrei uma reportagem falando sobre um grupo internacional. \u00c9 sobre um grupo APT chamado OilRig, que usam um trojan chamado Bondupdater e tem como foco governos no oriente m\u00e9dio. Isto chamou a minha curiosidade […]","og_url":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/","og_site_name":"GUARD - Seu neg\u00f3cio mais seguro","article_published_time":"2019-05-22T09:59:37+00:00","article_modified_time":"2019-05-23T14:41:34+00:00","og_image":[{"width":1200,"height":480,"url":"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg","type":"image\/jpeg"}],"author":"Victor Neves","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Victor Neves","Est. tempo de leitura":"6 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/","url":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/","name":"Analisando o Malware Bondupdater - GUARD - Seu neg\u00f3cio mais seguro","isPartOf":{"@id":"https:\/\/www.guardti.com.br\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#primaryimage"},"image":{"@id":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#primaryimage"},"thumbnailUrl":"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg","datePublished":"2019-05-22T09:59:37+00:00","dateModified":"2019-05-23T14:41:34+00:00","author":{"@id":"https:\/\/www.guardti.com.br\/blog\/#\/schema\/person\/dd00a154fadac2b71c7899bf72ee5289"},"breadcrumb":{"@id":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#primaryimage","url":"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg","contentUrl":"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2019\/05\/analise_de_malware.jpg","width":1200,"height":480,"caption":"An\u00e1lise de Malware"},{"@type":"BreadcrumbList","@id":"https:\/\/www.guardti.com.br\/blog\/analisando-o-malware-bondupdater\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/www.guardti.com.br\/blog\/"},{"@type":"ListItem","position":2,"name":"Analisando o Malware Bondupdater"}]},{"@type":"WebSite","@id":"https:\/\/www.guardti.com.br\/blog\/#website","url":"https:\/\/www.guardti.com.br\/blog\/","name":"GUARD - Seu neg\u00f3cio mais seguro","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.guardti.com.br\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"pt-BR"},{"@type":"Person","@id":"https:\/\/www.guardti.com.br\/blog\/#\/schema\/person\/dd00a154fadac2b71c7899bf72ee5289","name":"Victor Neves","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.guardti.com.br\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/66e80d5bf7fee59d79389c31ac8a2480?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/66e80d5bf7fee59d79389c31ac8a2480?s=96&d=mm&r=g","caption":"Victor Neves"},"description":"Amante do mundo do hackerismo; Com background em desenvolvimento em java, python e powershell, hoje, se dedica a an\u00e1lise de malware e threat intelligence.","url":"https:\/\/www.guardti.com.br\/blog\/author\/victorneves\/"}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/posts\/226"}],"collection":[{"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/comments?post=226"}],"version-history":[{"count":34,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/posts\/226\/revisions"}],"predecessor-version":[{"id":287,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/posts\/226\/revisions\/287"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/media\/272"}],"wp:attachment":[{"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/media?parent=226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/categories?post=226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.guardti.com.br\/blog\/wp-json\/wp\/v2\/tags?post=226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}