Tipos de Serializa\u00e7\u00e3o<\/strong><\/h4>\n\n\n\nExistem v\u00e1rios tipos de serializa\u00e7\u00e3o dispon\u00edveis, dependendo do objeto que est\u00e1 sendo serializado e da finalidade. Quase todas as linguagens de programa\u00e7\u00e3o modernas suportam a serializa\u00e7\u00e3o. Em Java, por exemplo, um objeto \u00e9 convertido em uma representa\u00e7\u00e3o compacta usando o fluxo de bytes, e o fluxo de bytes pode ser revertido de volta para uma c\u00f3pia desse objeto.<\/p>\n\n\n\n
Outros tipos de serializa\u00e7\u00e3o incluem a convers\u00e3o de um objeto em um formato hier\u00e1rquico como JSON ou XML. A vantagem desta serializa\u00e7\u00e3o \u00e9 que os objetos serializados podem ser lidos como texto simples, em vez de um fluxo de bytes.<\/p>\n\n\n\n
<\/h3>\n\n\n\nVulnerabilidades de desserializa\u00e7\u00e3o dos \u00faltimos tr\u00eas meses<\/strong><\/h4>\n\n\n\nNos\u00a0maiores riscos de seguran\u00e7a\u00a0da\u00a0OWASP de 2017, a\u00a0desserializa\u00e7\u00e3o insegura est\u00e1 posicionada no\u00a0oitavo lugar, sendo que em 2017, as principais novas vulnerabilidades relacionadas \u00e0 serializa\u00e7\u00e3o insegura, principalmente em Java, foram publicadas, como pode ser visto na figura abaixo.<\/p>\n\n\n\n
<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/03\/tbl.png\")
<\/a><\/figure><\/div>\n\n\n\nFigura 1 \u2013<\/strong> CVEs relacionados \u00e0 desserializa\u00e7\u00e3o insegura.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Para entender a magnitude dessas vulnerabilidades, analisamos os ataques dos \u00faltimos tr\u00eas meses (outubro a dezembro de 2017) que tentam explorar a deserializa\u00e7\u00e3o insegura.\u00a0Uma observa\u00e7\u00e3o chave \u00e9 o\u00a0aumento\u00a0acentuado<\/em>\u00a0dos ataques de desserializa\u00e7\u00e3o nos \u00faltimos meses, como pode ser visto na figura 2.<\/p>\n\n\n\n<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/03\/des-1.png\")
<\/a><\/h6>\n\n\n\nFigura 2 \u2013 Ataque de desserializa\u00e7\u00e3o ao longo de 3 meses.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
A maioria dos atacantes n\u00e3o usava vetores de ataque al\u00e9m da deserializa\u00e7\u00e3o insegura. Percebemos que cada invasor estava tentando explorar diferentes vulnerabilidades, sendo os CVE acima mencionados os mais prevalentes.<\/p>\n\n\n\n
<\/h3>\n\n\n\nAtaques de desserializa\u00e7\u00e3o na pr\u00e1tica<\/h4>\n\n\n\n
A maioria dos ataques que vimos est\u00e3o relacionados \u00e0 serializa\u00e7\u00e3o de bytes-stream de objetos Java.\u00a0Al\u00e9m disso, vimos alguns ataques relacionados \u00e0 serializa\u00e7\u00e3o para XML e outros formatos, representados na figura.<\/p>\n\n\n\n
<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/03\/des-2.png\")
<\/a><\/figure><\/div>\n\n\n\nFigura 3 \u2013\u00a0Distribui\u00e7\u00e3o de vulnerabilidades em diferentes formatos de serializa\u00e7\u00e3o.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
No ataque seguinte, \u200b\u200bo invasor est\u00e1 tentando explorar CVE-2017-10271. O payload \u00e9\u00a0enviado no corpo da solicita\u00e7\u00e3o HTTP usando um objeto Java serializado atrav\u00e9s da representa\u00e7\u00e3o XML.<\/p>\n\n\n\n
<\/p>\n\n\n\n![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/03\/des-4.png\")
<\/a><\/figure>\n\n\n\nFigura 4 \u2013\u00a0<\/strong>Vetor de ataque contendo uma matriz Java serializada em um XML.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Este script bash tenta enviar uma solicita\u00e7\u00e3o HTTP usando o comando “wget”, baixando um script de shell disfar\u00e7ado como um arquivo de imagem (observe a extens\u00e3o de arquivo jpg) e executando-o. Poucas notas interessantes podem ser feitas examinando este comando:<\/p>\n\n\n\n
- A exist\u00eancia de comandos shell e “wget” indicam que essa carga est\u00e1 direcionada a sistemas Linux<\/li>
- Usar uma extens\u00e3o de arquivo de imagem geralmente \u00e9 feito para evitar controles de seguran\u00e7a<\/li>
- O par\u00e2metro “-q”<\/strong> para “wget” significa “silencioso”, isso significa que “wget” n\u00e3o ter\u00e1 sa\u00edda para o console, portanto, ser\u00e1 mais dif\u00edcil notar que tal pedido foi feito. Uma vez que o script baixado \u00e9 executado, o servidor est\u00e1 infectado com um malware de criptografia tentando mutar moedas digitais Monero (uma moeda criptografia semelhante \u00e0 Bitcoin).<\/li><\/ul>\n\n\n\n
Al\u00e9m de ataques deste tipo, alguns ataques mais aprimorados de desserializa\u00e7\u00e3o foram indentificados, conforme pode ser visto na imagem abaixo:<\/p>\n\n\n\n
<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/03\/des-7.png\")
<\/a><\/figure><\/div>\n\n\n\nFigura 5 \u2013 <\/strong>Vetor de ataque usando uma vulnerabilidade RCE dos Apache Struts.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/des_java.png\")
<\/figure><\/div>\n\n\n\nFigura 6 \u2013 <\/strong>Ataque oriundo da China detectado por uma de nossas plataformas.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Este ataque tenta explorar vulnerabilidade, j\u00e1 conhecida, de RCE (Remote Code Execution) relacionada ao Apache Struts.<\/p>\n\n\n\n
Inicialmente n\u00e3o notamos nenhuma indica\u00e7\u00e3o de min\u00e9rios criptogr\u00e1ficos nos payloads dos ataques relacionados a este CVE, sendo a maioria das cargas \u00fateis ataques de reconhecimento.<\/p>\n\n\n\n
No entanto, neste ataque, o payload (marcado em amarelo acima) \u00e9 muito semelhante \u00e0 carga \u00fatil do exemplo anterior. Usando o mesmo servidor remoto e o mesmo script exato, ele infectou o servidor com malware de criptografia.<\/p>\n\n\n\n
Este antigo m\u00e9todo de ataque com uma nova carga \u00fatil sugere uma nova tend\u00eancia no meio cibern\u00e9tico, onde os atacantes tentam explorar vulnerabilidades RCE, novas e antigas, para transformar servidores vulner\u00e1veis \u200b\u200bem mineiradores criptogr\u00e1ficos e obter um ROI mais r\u00e1pido sobre o seu “trabalho”.<\/p>\n\n\n\n
<\/h3>\n\n\n\nRecomenda\u00e7\u00f5es<\/strong><\/h4>\n\n\n\nDadas as novas vulnerabilidades relacionadas \u00e0 desserializa\u00e7\u00e3o insegura que foram descobertas este ano e sua presen\u00e7a nos principais riscos de seguran\u00e7a da OWASP, esperamos ver mais vulnerabilidades relacionadas a esta em 2018. Entretanto, as organiza\u00e7\u00f5es que usam servidores afetados s\u00e3o aconselhadas a usar o patch mais recente para mitigar essas vulnerabilidades.<\/p>\n\n\n\n
Uma alternativa ao patch manual \u00e9 o patch virtual. O patch virtual protege ativamente os aplicativos da Web contra ataques, reduzindo a janela de exposi\u00e7\u00e3o e diminuindo o custo dos patches de emerg\u00eancia e corre\u00e7\u00e3o de ciclos.<\/p>\n\n\n\n
Um WAF<\/a> que fornece mapeamento virtual n\u00e3o interfere com o fluxo de trabalho normal da aplica\u00e7\u00e3o e mant\u00e9m o site protegido enquanto permite que os propriet\u00e1rios do site controlem a linha de tempo do processo de corre\u00e7\u00e3o. <\/p>\n\n\n\nTem interesse em saber mais sobre nossa solu\u00e7\u00e3o de WAF<\/a> e proteger o seu website? Entre em contato e fale agora mesmo com nossos especialistas<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde. As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es. A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo – tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto. Hoje, o […]<\/p>\n","protected":false},"author":9,"featured_media":1649,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[166,165,170,169,167,168],"yoast_head":"\n
Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog<\/title>\n<meta name=\"description\" content=\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog\" \/>\n<meta property=\"og:description\" content=\"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\" \/>\n<meta property=\"og:site_name\" content=\"XLabs Security Blog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/xlabs\" \/>\n<meta property=\"article:published_time\" content=\"2018-05-10T04:20:01+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-08-25T21:26:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1000\" \/>\n\t<meta property=\"og:image:height\" content=\"488\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Guilherme Rubert\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:title\" content=\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog\" \/>\n<meta name=\"twitter:description\" content=\"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Guilherme Rubert\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\"},\"author\":{\"name\":\"Guilherme Rubert\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426\"},\"headline\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o\",\"datePublished\":\"2018-05-10T04:20:01+00:00\",\"dateModified\":\"2021-08-25T21:26:15+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\"},\"wordCount\":1014,\"publisher\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\"},\"keywords\":[\"ataques\",\"desserializa\u00e7\u00e3o\",\"O que \u00e9 Desserializa\u00e7\u00e3o\",\"Tipos de Serializa\u00e7\u00e3o\",\"Xlabs\",\"Xlabs On security\"],\"articleSection\":[\"Artigos\"],\"inLanguage\":\"pt-BR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\",\"name\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog\",\"isPartOf\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#website\"},\"datePublished\":\"2018-05-10T04:20:01+00:00\",\"dateModified\":\"2021-08-25T21:26:15+00:00\",\"description\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...\",\"breadcrumb\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/www.xlabs.com.br\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#website\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/\",\"name\":\"XLabs Security Blog\",\"description\":\"Seguran\u00e7a da Informa\u00e7\u00e3o\",\"publisher\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.xlabs.com.br\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\",\"name\":\"XLabs Security\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png\",\"contentUrl\":\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png\",\"width\":478,\"height\":168,\"caption\":\"XLabs Security\"},\"image\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.instagram.com\/xlabs.security\",\"https:\/\/www.linkedin.com\/company\/xlabs-security\/\",\"https:\/\/www.youtube.com\/channel\/UCPbGDmCQI7_UcAPmvVLi58g?view_as=subscriber\",\"https:\/\/www.facebook.com\/xlabs\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426\",\"name\":\"Guilherme Rubert\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g\",\"caption\":\"Guilherme Rubert\"},\"sameAs\":[\"https:\/\/www.xlabs.com.br\/\"],\"url\":\"https:\/\/www.xlabs.com.br\/blog\/author\/guilherme-rubert\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","description":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","og_locale":"pt_BR","og_type":"article","og_title":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","og_description":"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.","og_url":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","og_site_name":"XLabs Security Blog","article_publisher":"https:\/\/www.facebook.com\/xlabs","article_published_time":"2018-05-10T04:20:01+00:00","article_modified_time":"2021-08-25T21:26:15+00:00","og_image":[{"width":1000,"height":488,"url":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png","type":"image\/png"}],"author":"Guilherme Rubert","twitter_card":"summary_large_image","twitter_title":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","twitter_description":"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.","twitter_image":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png","twitter_misc":{"Escrito por":"Guilherme Rubert","Est. tempo de leitura":"6 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#article","isPartOf":{"@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/"},"author":{"name":"Guilherme Rubert","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426"},"headline":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o","datePublished":"2018-05-10T04:20:01+00:00","dateModified":"2021-08-25T21:26:15+00:00","mainEntityOfPage":{"@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/"},"wordCount":1014,"publisher":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#organization"},"keywords":["ataques","desserializa\u00e7\u00e3o","O que \u00e9 Desserializa\u00e7\u00e3o","Tipos de Serializa\u00e7\u00e3o","Xlabs","Xlabs On security"],"articleSection":["Artigos"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","url":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","name":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","isPartOf":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#website"},"datePublished":"2018-05-10T04:20:01+00:00","dateModified":"2021-08-25T21:26:15+00:00","description":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...","breadcrumb":{"@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/www.xlabs.com.br\/blog\/"},{"@type":"ListItem","position":2,"name":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o"}]},{"@type":"WebSite","@id":"https:\/\/www.xlabs.com.br\/blog\/#website","url":"https:\/\/www.xlabs.com.br\/blog\/","name":"XLabs Security Blog","description":"Seguran\u00e7a da Informa\u00e7\u00e3o","publisher":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.xlabs.com.br\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"https:\/\/www.xlabs.com.br\/blog\/#organization","name":"XLabs Security","url":"https:\/\/www.xlabs.com.br\/blog\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png","contentUrl":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png","width":478,"height":168,"caption":"XLabs Security"},"image":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.instagram.com\/xlabs.security","https:\/\/www.linkedin.com\/company\/xlabs-security\/","https:\/\/www.youtube.com\/channel\/UCPbGDmCQI7_UcAPmvVLi58g?view_as=subscriber","https:\/\/www.facebook.com\/xlabs"]},{"@type":"Person","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426","name":"Guilherme Rubert","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g","caption":"Guilherme Rubert"},"sameAs":["https:\/\/www.xlabs.com.br\/"],"url":"https:\/\/www.xlabs.com.br\/blog\/author\/guilherme-rubert\/"}]}},"_links":{"self":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/751"}],"collection":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=751"}],"version-history":[{"count":21,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/751\/revisions"}],"predecessor-version":[{"id":1651,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/751\/revisions\/1651"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/1649"}],"wp:attachment":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Vulnerabilidades de desserializa\u00e7\u00e3o dos \u00faltimos tr\u00eas meses<\/strong><\/h4>\n\n\n\nNos\u00a0maiores riscos de seguran\u00e7a\u00a0da\u00a0OWASP de 2017, a\u00a0desserializa\u00e7\u00e3o insegura est\u00e1 posicionada no\u00a0oitavo lugar, sendo que em 2017, as principais novas vulnerabilidades relacionadas \u00e0 serializa\u00e7\u00e3o insegura, principalmente em Java, foram publicadas, como pode ser visto na figura abaixo.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\nFigura 1 \u2013<\/strong> CVEs relacionados \u00e0 desserializa\u00e7\u00e3o insegura.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Para entender a magnitude dessas vulnerabilidades, analisamos os ataques dos \u00faltimos tr\u00eas meses (outubro a dezembro de 2017) que tentam explorar a deserializa\u00e7\u00e3o insegura.\u00a0Uma observa\u00e7\u00e3o chave \u00e9 o\u00a0aumento\u00a0acentuado<\/em>\u00a0dos ataques de desserializa\u00e7\u00e3o nos \u00faltimos meses, como pode ser visto na figura 2.<\/p>\n\n\n\n<\/p>\n\n\n\n
<\/a><\/h6>\n\n\n\nFigura 2 \u2013 Ataque de desserializa\u00e7\u00e3o ao longo de 3 meses.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
A maioria dos atacantes n\u00e3o usava vetores de ataque al\u00e9m da deserializa\u00e7\u00e3o insegura. Percebemos que cada invasor estava tentando explorar diferentes vulnerabilidades, sendo os CVE acima mencionados os mais prevalentes.<\/p>\n\n\n\n
<\/h3>\n\n\n\nAtaques de desserializa\u00e7\u00e3o na pr\u00e1tica<\/h4>\n\n\n\n
A maioria dos ataques que vimos est\u00e3o relacionados \u00e0 serializa\u00e7\u00e3o de bytes-stream de objetos Java.\u00a0Al\u00e9m disso, vimos alguns ataques relacionados \u00e0 serializa\u00e7\u00e3o para XML e outros formatos, representados na figura.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\nFigura 3 \u2013\u00a0Distribui\u00e7\u00e3o de vulnerabilidades em diferentes formatos de serializa\u00e7\u00e3o.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
No ataque seguinte, \u200b\u200bo invasor est\u00e1 tentando explorar CVE-2017-10271. O payload \u00e9\u00a0enviado no corpo da solicita\u00e7\u00e3o HTTP usando um objeto Java serializado atrav\u00e9s da representa\u00e7\u00e3o XML.<\/p>\n\n\n\n
<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\nFigura 4 \u2013\u00a0<\/strong>Vetor de ataque contendo uma matriz Java serializada em um XML.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Este script bash tenta enviar uma solicita\u00e7\u00e3o HTTP usando o comando “wget”, baixando um script de shell disfar\u00e7ado como um arquivo de imagem (observe a extens\u00e3o de arquivo jpg) e executando-o. Poucas notas interessantes podem ser feitas examinando este comando:<\/p>\n\n\n\n
- A exist\u00eancia de comandos shell e “wget” indicam que essa carga est\u00e1 direcionada a sistemas Linux<\/li>
- Usar uma extens\u00e3o de arquivo de imagem geralmente \u00e9 feito para evitar controles de seguran\u00e7a<\/li>
- O par\u00e2metro “-q”<\/strong> para “wget” significa “silencioso”, isso significa que “wget” n\u00e3o ter\u00e1 sa\u00edda para o console, portanto, ser\u00e1 mais dif\u00edcil notar que tal pedido foi feito. Uma vez que o script baixado \u00e9 executado, o servidor est\u00e1 infectado com um malware de criptografia tentando mutar moedas digitais Monero (uma moeda criptografia semelhante \u00e0 Bitcoin).<\/li><\/ul>\n\n\n\n
Al\u00e9m de ataques deste tipo, alguns ataques mais aprimorados de desserializa\u00e7\u00e3o foram indentificados, conforme pode ser visto na imagem abaixo:<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\nFigura 5 \u2013 <\/strong>Vetor de ataque usando uma vulnerabilidade RCE dos Apache Struts.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/figure><\/div>\n\n\n\nFigura 6 \u2013 <\/strong>Ataque oriundo da China detectado por uma de nossas plataformas.<\/em><\/p>\n\n\n\n<\/p>\n\n\n\n
<\/p>\n\n\n\n
Este ataque tenta explorar vulnerabilidade, j\u00e1 conhecida, de RCE (Remote Code Execution) relacionada ao Apache Struts.<\/p>\n\n\n\n
Inicialmente n\u00e3o notamos nenhuma indica\u00e7\u00e3o de min\u00e9rios criptogr\u00e1ficos nos payloads dos ataques relacionados a este CVE, sendo a maioria das cargas \u00fateis ataques de reconhecimento.<\/p>\n\n\n\n
No entanto, neste ataque, o payload (marcado em amarelo acima) \u00e9 muito semelhante \u00e0 carga \u00fatil do exemplo anterior. Usando o mesmo servidor remoto e o mesmo script exato, ele infectou o servidor com malware de criptografia.<\/p>\n\n\n\n
Este antigo m\u00e9todo de ataque com uma nova carga \u00fatil sugere uma nova tend\u00eancia no meio cibern\u00e9tico, onde os atacantes tentam explorar vulnerabilidades RCE, novas e antigas, para transformar servidores vulner\u00e1veis \u200b\u200bem mineiradores criptogr\u00e1ficos e obter um ROI mais r\u00e1pido sobre o seu “trabalho”.<\/p>\n\n\n\n
<\/h3>\n\n\n\nRecomenda\u00e7\u00f5es<\/strong><\/h4>\n\n\n\nDadas as novas vulnerabilidades relacionadas \u00e0 desserializa\u00e7\u00e3o insegura que foram descobertas este ano e sua presen\u00e7a nos principais riscos de seguran\u00e7a da OWASP, esperamos ver mais vulnerabilidades relacionadas a esta em 2018. Entretanto, as organiza\u00e7\u00f5es que usam servidores afetados s\u00e3o aconselhadas a usar o patch mais recente para mitigar essas vulnerabilidades.<\/p>\n\n\n\n
Uma alternativa ao patch manual \u00e9 o patch virtual. O patch virtual protege ativamente os aplicativos da Web contra ataques, reduzindo a janela de exposi\u00e7\u00e3o e diminuindo o custo dos patches de emerg\u00eancia e corre\u00e7\u00e3o de ciclos.<\/p>\n\n\n\n
Um WAF<\/a> que fornece mapeamento virtual n\u00e3o interfere com o fluxo de trabalho normal da aplica\u00e7\u00e3o e mant\u00e9m o site protegido enquanto permite que os propriet\u00e1rios do site controlem a linha de tempo do processo de corre\u00e7\u00e3o. <\/p>\n\n\n\nTem interesse em saber mais sobre nossa solu\u00e7\u00e3o de WAF<\/a> e proteger o seu website? Entre em contato e fale agora mesmo com nossos especialistas<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde. As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es. A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo – tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto. Hoje, o […]<\/p>\n","protected":false},"author":9,"featured_media":1649,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[166,165,170,169,167,168],"yoast_head":"\n
Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog<\/title>\n<meta name=\"description\" content=\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog\" \/>\n<meta property=\"og:description\" content=\"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\" \/>\n<meta property=\"og:site_name\" content=\"XLabs Security Blog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/xlabs\" \/>\n<meta property=\"article:published_time\" content=\"2018-05-10T04:20:01+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-08-25T21:26:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1000\" \/>\n\t<meta property=\"og:image:height\" content=\"488\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Guilherme Rubert\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:title\" content=\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog\" \/>\n<meta name=\"twitter:description\" content=\"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.\" \/>\n<meta name=\"twitter:image\" content=\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Guilherme Rubert\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"6 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\"},\"author\":{\"name\":\"Guilherme Rubert\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426\"},\"headline\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o\",\"datePublished\":\"2018-05-10T04:20:01+00:00\",\"dateModified\":\"2021-08-25T21:26:15+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\"},\"wordCount\":1014,\"publisher\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\"},\"keywords\":[\"ataques\",\"desserializa\u00e7\u00e3o\",\"O que \u00e9 Desserializa\u00e7\u00e3o\",\"Tipos de Serializa\u00e7\u00e3o\",\"Xlabs\",\"Xlabs On security\"],\"articleSection\":[\"Artigos\"],\"inLanguage\":\"pt-BR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\",\"name\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog\",\"isPartOf\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#website\"},\"datePublished\":\"2018-05-10T04:20:01+00:00\",\"dateModified\":\"2021-08-25T21:26:15+00:00\",\"description\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...\",\"breadcrumb\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/www.xlabs.com.br\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#website\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/\",\"name\":\"XLabs Security Blog\",\"description\":\"Seguran\u00e7a da Informa\u00e7\u00e3o\",\"publisher\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.xlabs.com.br\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#organization\",\"name\":\"XLabs Security\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png\",\"contentUrl\":\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png\",\"width\":478,\"height\":168,\"caption\":\"XLabs Security\"},\"image\":{\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.instagram.com\/xlabs.security\",\"https:\/\/www.linkedin.com\/company\/xlabs-security\/\",\"https:\/\/www.youtube.com\/channel\/UCPbGDmCQI7_UcAPmvVLi58g?view_as=subscriber\",\"https:\/\/www.facebook.com\/xlabs\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426\",\"name\":\"Guilherme Rubert\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g\",\"caption\":\"Guilherme Rubert\"},\"sameAs\":[\"https:\/\/www.xlabs.com.br\/\"],\"url\":\"https:\/\/www.xlabs.com.br\/blog\/author\/guilherme-rubert\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","description":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","og_locale":"pt_BR","og_type":"article","og_title":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","og_description":"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.","og_url":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","og_site_name":"XLabs Security Blog","article_publisher":"https:\/\/www.facebook.com\/xlabs","article_published_time":"2018-05-10T04:20:01+00:00","article_modified_time":"2021-08-25T21:26:15+00:00","og_image":[{"width":1000,"height":488,"url":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png","type":"image\/png"}],"author":"Guilherme Rubert","twitter_card":"summary_large_image","twitter_title":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","twitter_description":"Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde.\u00a0As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es.\u00a0A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo - tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto.\u00a0Hoje, o formato de dados mais popular para serializar dados \u00e9 JSON.\u00a0Antes disso, era XML.","twitter_image":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2018\/05\/ataques-websites-surgem-exploracao-ilegal-cripto-mineracao-blog-post-xlabs.png","twitter_misc":{"Escrito por":"Guilherme Rubert","Est. tempo de leitura":"6 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#article","isPartOf":{"@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/"},"author":{"name":"Guilherme Rubert","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426"},"headline":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o","datePublished":"2018-05-10T04:20:01+00:00","dateModified":"2021-08-25T21:26:15+00:00","mainEntityOfPage":{"@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/"},"wordCount":1014,"publisher":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#organization"},"keywords":["ataques","desserializa\u00e7\u00e3o","O que \u00e9 Desserializa\u00e7\u00e3o","Tipos de Serializa\u00e7\u00e3o","Xlabs","Xlabs On security"],"articleSection":["Artigos"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","url":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/","name":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o – XLabs Security Blog","isPartOf":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#website"},"datePublished":"2018-05-10T04:20:01+00:00","dateModified":"2021-08-25T21:26:15+00:00","description":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o: neste artigo entenda mais sobre como isso acontece...","breadcrumb":{"@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.xlabs.com.br\/blog\/ataques-a-websites-surgem-para-exploracao-ilegal-de-cripto-mineracao\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/www.xlabs.com.br\/blog\/"},{"@type":"ListItem","position":2,"name":"Ataques a websites surgem para explora\u00e7\u00e3o ilegal de Cripto-Minera\u00e7\u00e3o"}]},{"@type":"WebSite","@id":"https:\/\/www.xlabs.com.br\/blog\/#website","url":"https:\/\/www.xlabs.com.br\/blog\/","name":"XLabs Security Blog","description":"Seguran\u00e7a da Informa\u00e7\u00e3o","publisher":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.xlabs.com.br\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"pt-BR"},{"@type":"Organization","@id":"https:\/\/www.xlabs.com.br\/blog\/#organization","name":"XLabs Security","url":"https:\/\/www.xlabs.com.br\/blog\/","logo":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png","contentUrl":"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2020\/11\/Logotipo.png","width":478,"height":168,"caption":"XLabs Security"},"image":{"@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.instagram.com\/xlabs.security","https:\/\/www.linkedin.com\/company\/xlabs-security\/","https:\/\/www.youtube.com\/channel\/UCPbGDmCQI7_UcAPmvVLi58g?view_as=subscriber","https:\/\/www.facebook.com\/xlabs"]},{"@type":"Person","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/e6b2c442b98ac678a619dd4f80de8426","name":"Guilherme Rubert","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/www.xlabs.com.br\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/6697e64d6dc2f6842701ff7751a0065b?s=96&d=mm&r=g","caption":"Guilherme Rubert"},"sameAs":["https:\/\/www.xlabs.com.br\/"],"url":"https:\/\/www.xlabs.com.br\/blog\/author\/guilherme-rubert\/"}]}},"_links":{"self":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/751"}],"collection":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=751"}],"version-history":[{"count":21,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/751\/revisions"}],"predecessor-version":[{"id":1651,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/751\/revisions\/1651"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/1649"}],"wp:attachment":[{"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.xlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/a><\/figure><\/div>\n\n\n\nFigura 1 \u2013<\/strong> CVEs relacionados \u00e0 desserializa\u00e7\u00e3o insegura.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Para entender a magnitude dessas vulnerabilidades, analisamos os ataques dos \u00faltimos tr\u00eas meses (outubro a dezembro de 2017) que tentam explorar a deserializa\u00e7\u00e3o insegura.\u00a0Uma observa\u00e7\u00e3o chave \u00e9 o\u00a0aumento\u00a0acentuado<\/em>\u00a0dos ataques de desserializa\u00e7\u00e3o nos \u00faltimos meses, como pode ser visto na figura 2.<\/p>\n\n\n\n <\/p>\n\n\n\n Figura 2 \u2013 Ataque de desserializa\u00e7\u00e3o ao longo de 3 meses.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n A maioria dos atacantes n\u00e3o usava vetores de ataque al\u00e9m da deserializa\u00e7\u00e3o insegura. Percebemos que cada invasor estava tentando explorar diferentes vulnerabilidades, sendo os CVE acima mencionados os mais prevalentes.<\/p>\n\n\n\n A maioria dos ataques que vimos est\u00e3o relacionados \u00e0 serializa\u00e7\u00e3o de bytes-stream de objetos Java.\u00a0Al\u00e9m disso, vimos alguns ataques relacionados \u00e0 serializa\u00e7\u00e3o para XML e outros formatos, representados na figura.<\/p>\n\n\n\n <\/p>\n\n\n\n Figura 3 \u2013\u00a0Distribui\u00e7\u00e3o de vulnerabilidades em diferentes formatos de serializa\u00e7\u00e3o.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n No ataque seguinte, \u200b\u200bo invasor est\u00e1 tentando explorar CVE-2017-10271. O payload \u00e9\u00a0enviado no corpo da solicita\u00e7\u00e3o HTTP usando um objeto Java serializado atrav\u00e9s da representa\u00e7\u00e3o XML.<\/p>\n\n\n\n <\/p>\n\n\n\n Figura 4 \u2013\u00a0<\/strong>Vetor de ataque contendo uma matriz Java serializada em um XML.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Este script bash tenta enviar uma solicita\u00e7\u00e3o HTTP usando o comando “wget”, baixando um script de shell disfar\u00e7ado como um arquivo de imagem (observe a extens\u00e3o de arquivo jpg) e executando-o. Poucas notas interessantes podem ser feitas examinando este comando:<\/p>\n\n\n\n Al\u00e9m de ataques deste tipo, alguns ataques mais aprimorados de desserializa\u00e7\u00e3o foram indentificados, conforme pode ser visto na imagem abaixo:<\/p>\n\n\n\n <\/p>\n\n\n\n Figura 5 \u2013 <\/strong>Vetor de ataque usando uma vulnerabilidade RCE dos Apache Struts.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Figura 6 \u2013 <\/strong>Ataque oriundo da China detectado por uma de nossas plataformas.<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Este ataque tenta explorar vulnerabilidade, j\u00e1 conhecida, de RCE (Remote Code Execution) relacionada ao Apache Struts.<\/p>\n\n\n\n Inicialmente n\u00e3o notamos nenhuma indica\u00e7\u00e3o de min\u00e9rios criptogr\u00e1ficos nos payloads dos ataques relacionados a este CVE, sendo a maioria das cargas \u00fateis ataques de reconhecimento.<\/p>\n\n\n\n No entanto, neste ataque, o payload (marcado em amarelo acima) \u00e9 muito semelhante \u00e0 carga \u00fatil do exemplo anterior. Usando o mesmo servidor remoto e o mesmo script exato, ele infectou o servidor com malware de criptografia.<\/p>\n\n\n\n Este antigo m\u00e9todo de ataque com uma nova carga \u00fatil sugere uma nova tend\u00eancia no meio cibern\u00e9tico, onde os atacantes tentam explorar vulnerabilidades RCE, novas e antigas, para transformar servidores vulner\u00e1veis \u200b\u200bem mineiradores criptogr\u00e1ficos e obter um ROI mais r\u00e1pido sobre o seu “trabalho”.<\/p>\n\n\n\n Dadas as novas vulnerabilidades relacionadas \u00e0 desserializa\u00e7\u00e3o insegura que foram descobertas este ano e sua presen\u00e7a nos principais riscos de seguran\u00e7a da OWASP, esperamos ver mais vulnerabilidades relacionadas a esta em 2018. Entretanto, as organiza\u00e7\u00f5es que usam servidores afetados s\u00e3o aconselhadas a usar o patch mais recente para mitigar essas vulnerabilidades.<\/p>\n\n\n\n Uma alternativa ao patch manual \u00e9 o patch virtual. O patch virtual protege ativamente os aplicativos da Web contra ataques, reduzindo a janela de exposi\u00e7\u00e3o e diminuindo o custo dos patches de emerg\u00eancia e corre\u00e7\u00e3o de ciclos.<\/p>\n\n\n\n Um WAF<\/a> que fornece mapeamento virtual n\u00e3o interfere com o fluxo de trabalho normal da aplica\u00e7\u00e3o e mant\u00e9m o site protegido enquanto permite que os propriet\u00e1rios do site controlem a linha de tempo do processo de corre\u00e7\u00e3o. <\/p>\n\n\n\n Tem interesse em saber mais sobre nossa solu\u00e7\u00e3o de WAF<\/a> e proteger o seu website? Entre em contato e fale agora mesmo com nossos especialistas<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":" Serializa\u00e7\u00e3o \u00e9 o processo de transformar algum objeto em um formato de dados que pode ser restaurado mais tarde. As pessoas geralmente serializam objetos para salv\u00e1-los no armazenamento ou para enviar como parte das comunica\u00e7\u00f5es. A desserializa\u00e7\u00e3o \u00e9 o inverso desse processo – tomando dados estruturados a partir de algum formato e reconstruindo-o em um objeto. Hoje, o […]<\/p>\n","protected":false},"author":9,"featured_media":1649,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[166,165,170,169,167,168],"yoast_head":"\n<\/a><\/h6>\n\n\n\n <\/h3>\n\n\n\n
Ataques de desserializa\u00e7\u00e3o na pr\u00e1tica<\/h4>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/figure><\/div>\n\n\n\n <\/h3>\n\n\n\n
Recomenda\u00e7\u00f5es<\/strong><\/h4>\n\n\n\n