Mês: Setembro 2025

Publicado em por

SpiderFoot: Automação de Reconhecimento de Inteligência de Ameaças

SpiderFoot: Automação de Reconhecimento de Inteligência de Ameaças

No domínio da cibersegurança e do hacking ético, a fase de reconhecimento (reconnaissance) é fundamental para entender o alvo antes de realizar qualquer teste ou ataque simulado. Uma das ferramentas mais completas e automatizadas para essa tarefa é o SpiderFoot, uma plataforma poderosa de OSINT (Open Source Intelligence).

O que é o SpiderFoot?

SpiderFoot é uma ferramenta open-source, escrita em Python, que automatiza a recolha de inteligência sobre alvos utilizando fontes abertas (OSINT). A ferramenta pode recolher informações sobre endereços IP, domínios, e-mails, nomes, subdomínios, leaks de dados, e muito mais, tudo a partir de fontes públicas.

Permite aos profissionais de segurança, analistas de ameaças e hackers éticos reunir rapidamente grandes quantidades de dados sobre alvos de forma automática e organizada.

Principais Funcionalidades

  • Reconhecimento Automático: Possui mais de 200 módulos que recolhem dados de fontes como Shodan, VirusTotal, HaveIBeenPwned, DNSDumpster, etc.
  • Fontes OSINT Diversificadas: Utiliza motores de busca, bases de dados de breaches, registos WHOIS, histórico de domínios, redes sociais, pastebins, etc.
  • Análise de Relações: Mapeia conexões entre diferentes entidades, como IPs associados a domínios, emails ligados a fugas de dados, etc.
  • Interface Web e CLI: Pode ser usado via linha de comandos ou através de uma interface web muito intuitiva, adequada para equipas e ambientes colaborativos.
  • Relatórios Detalhados: Gera relatórios visuais e exportáveis (HTML, CSV, JSON), úteis para auditorias, investigações e apresentações.
  • Integração com SIEMs e ferramentas de Threat Intelligence: Possível usar via API ou integrar em pipelines de automação.

Casos de Utilização

  • Reconhecimento Inicial em Pentesting: Antes de realizar um teste de intrusão, o SpiderFoot pode ajudar a recolher subdomínios, emails expostos, serviços abertos, etc.
  • Threat Intelligence: Analistas podem usar o SpiderFoot para mapear a presença online de uma organização e detetar potenciais pontos de exposição.
  • Monitorização de Ativos: Ideal para identificar ativos esquecidos ou não documentados, como domínios antigos ainda ativos.
  • Investigações de Cibercrime: Ajuda investigadores forenses a rastrear ligações entre identidades, endereços IP e domínios maliciosos.
  • Análise de Concorrência ou Marca (Brand Monitoring): Pode ser usado para monitorizar menções indevidas a marcas ou empresas em sites de leaks, fóruns, etc.

Instalação Básica:

git clone https://github.com/smicallef/spiderfoot.git
cd spiderfoot
pip3 install -r requirements.txt
python3 sf.py

A interface web estará disponível por defeito em: http://127.0.0.1:5001

Também pode ser utilizado via linha de comandos para integração em scripts.

Exemplo de Módulos Suportados

Tipo de InformaçãoMódulos Usados
WHOISwhois_xmlapi, whois, whois_domain
DNS/Subdomíniosdnsresolve, dnsbrute, virustotal
Breaches/Leakshaveibeenpwned, hibp_domain, pastebin
IP Intelligenceshodan, ipinfo.io
Geolocalizaçãoipapi, ipstack

Vantagens

Extremamente completo e automatizado
Ideal para profissionais de segurança e investigadores
Suporte a dezenas de APIs e fontes OSINT
Fácil de integrar e utilizar com scripts
Interface web prática para equipas

Limitações

Algumas fontes requerem chaves de API (ex: Shodan, VirusTotal, etc.)
A recolha pode demorar consoante o número de módulos ativos
Requer configuração adequada para evitar falsos positivos

Considerações Éticas

Tal como outras ferramentas OSINT, o SpiderFoot deve ser utilizado apenas com propósitos legítimos e autorizados. A recolha de informações sobre terceiros sem permissão pode ser ilegal e violar regulamentos de proteção de dados como o RGPD.

Conclusão

O SpiderFoot é uma das ferramentas OSINT mais poderosas e completas disponíveis atualmente. A sua capacidade de automatizar o reconhecimento e reunir dados de dezenas de fontes torna-o essencial para pentesters, analistas SOC, equipas de threat intelligence e investigadores de cibercrime.

Em poucos minutos, pode-se obter uma visão profunda sobre a exposição de um alvo na internet algo essencial tanto em ambientes ofensivos como defensivos.

Referências

Publicado em por

O que é DNS Rebinding e como proteger a sua empresa

Na era da interconectividade, as vulnerabilidades no sistema de nomes de domínio (DNS) podem ser exploradas para ataques sofisticados. Um destes ataques é o DNS Rebinding, que permite a um atacante contornar restrições de rede e aceder a sistemas internos de uma organização.

O que é DNS Rebinding?

DNS Rebinding é um ataque que manipula a resolução de nomes de domínio para fazer com que um navegador web acredite que um domínio externo está na verdade a apontar para um endereço IP interno, permitindo que o atacante aceda a recursos restritos na rede da vítima.

Como funciona na prática?

  • O atacante configura um domínio malicioso que inicialmente resolve para o seu próprio servidor.
  • Após a carga inicial da página, o DNS é manipulado para resolver para um IP interno da rede da vítima.
  • O navegador, confiando no domínio, envia requisições para o IP interno, permitindo que o atacante interaja com serviços internos protegidos.
  • Assim, o atacante pode explorar vulnerabilidades internas, roubar informações ou comprometer sistemas.

Por que o DNS Rebinding é perigoso?

Este ataque permite ultrapassar firewalls e outras medidas de segurança baseadas em localização, expondo recursos internos sensíveis a acessos não autorizados, muitas vezes sem que o utilizador perceba.

Como uma empresa de Managed Security Services protege contra DNS Rebinding

Empresas especializadas em segurança gerida, com um SOC (Centro de Operações de Segurança) proativo, implementam medidas eficazes para mitigar este risco:

1. Monitorização e análise de tráfego DNS

O SOC realiza análise contínua das consultas DNS para identificar padrões suspeitos e domínios maliciosos associados a ataques de rebinding.

2. Configuração de políticas de segurança de rede

Implementação de firewalls, proxies e sistemas de deteção que bloqueiam domínios e IPs suspeitos, além de restringir o acesso interno a serviços críticos.

3. Hardening dos navegadores e aplicações

Aplicação de políticas de segurança que limitam o impacto do DNS Rebinding, como a validação de origem e restrição de scripts em aplicações web internas.

4. Resposta rápida a incidentes

Ao detectar um possível ataque, o SOC intervém para bloquear o domínio malicioso e mitigar qualquer impacto na rede interna.

5. Educação e formação

Sensibilização para colaboradores sobre a importância da segurança DNS e boas práticas de navegação segura.

O papel do SOC Proativo

O SOC proativo utiliza ferramentas avançadas para antecipar, detetar e responder rapidamente a ataques como o DNS Rebinding, mantendo a rede da sua empresa segura e resiliente.

Conclusão

DNS Rebinding é uma ameaça sofisticada que pode comprometer a segurança interna da sua empresa. Contar com uma empresa de Managed Security Services com um SOC proativo é essencial para proteger os seus sistemas contra esta e outras ameaças emergentes.

Invista em segurança para garantir a proteção total da sua infraestrutura.

Publicado em por

Shai-Hulud: O Worm que afeta os Pacotes NPM

Introdução

Em setembro de 2025, foi descoberta uma nova campanha de malware na cadeia de fornecimento de software que afeta o ecossistema JavaScript/NPM. O worm por trás deste ataque foi apelidado de Shai-Hulud, uma referência aos vermes gigantes do universo Dune.

Este artigo explica o que é, como atua, quais os riscos e como te podes proteger.

O que é o Shai-Hulud

  • Malware auto-replicante que se espalha por pacotes publicados no NPM.
  • Infecta contas de programadores comprometidas e insere código malicioso nos scripts de instalação (postinstall).
  • Roubos de segredos e credenciais, além de injeção de workflows no GitHub para exfiltrar dados.

Como Funciona o Ataque

  1. Comprometimento de contas: tokens NPM roubados permitem publicação de versões maliciosas.
  2. Injeção de scripts: adiciona bundle.js ofuscado que procura credenciais em variáveis de ambiente e serviços cloud.
  3. Exfiltração de dados: segredos roubados são enviados para repositórios GitHub ou webhooks controlados por atacantes.
  4. Auto-replicação: o worm modifica outros pacotes do mesmo criador e continua a propagar-se.
  5. Exposição de repositórios: repos privados são tornados públicos, com nomes como “-migration”.

Impacto

  • Mais de 180 pacotes NPM comprometidos.
  • Pacotes populares como @ctrl/tinycolor (2,2M downloads/semana) e ngx-bootstrap foram afetados.
  • Ambientes de desenvolvimento e pipelines CI/CD em risco de vazamento de credenciais.
  • Dificuldade em conter a propagação devido ao comportamento auto-replicante.

Exemplos de Pacotes Afetados

  • @ctrl/tinycolor
  • ngx-bootstrap
  • Pacotes associados a contas da CrowdStrike

Como te Protegeres

  • Verificar versões: usar versões fixas (x.y.z) e evitar dependências soltas (^, ~).
  • Auditar dependências: usar scanners e rever scripts de instalação (postinstall).
  • Rodar credenciais: revogar tokens expostos (NPM, GitHub, cloud) e ativar MFA/2FA.
  • Revisar pipelines CI/CD: procurar workflows desconhecidos ou pacotes adicionados recentemente.
  • Restringir permissões: tokens NPM só em ambientes seguros e com privilégios mínimos.
  • Monitorizar scripts: desativar postinstall em ambientes não confiáveis.
  • Monitorização contínua: acompanhar alertas de segurança e registos de instalação/build.

Conclusão

O Shai-Hulud é um dos ataques mais sérios contra a cadeia de fornecimento de software nos últimos anos. Ele combina auto-replicação, roubo de segredos e exposição de código privado em larga escala.
As organizações devem reforçar as suas práticas de segurança, auditar dependências regularmente e manter políticas rigorosas de proteção de credenciais.

Artigo escrito por IA

Publicado em por

O que é Cross-Site History Manipulation e como proteger a sua empresa

No vasto campo da segurança web, técnicas avançadas de ataque exploram vulnerabilidades inesperadas para manipular a experiência do utilizador. Um exemplo é o Cross-Site History Manipulation, que pode comprometer a integridade da navegação e a segurança do utilizador.

O que é Cross-Site History Manipulation?

Cross-Site History Manipulation é um tipo de ataque em que um invasor manipula o histórico do navegador do utilizador, usando scripts maliciosos para alterar o comportamento da navegação, redirecionar o utilizador ou esconder páginas visitadas, tudo sem o conhecimento da vítima.

Como funciona na prática?

  • O atacante injeta scripts maliciosos numa página web ou num anúncio.
  • Esses scripts manipulam o histórico do navegador, adicionando, removendo ou alterando entradas.
  • O utilizador pode ser redirecionado a páginas falsas ou maliciosas sem perceber, ou ter o seu histórico ocultado para esconder rastros.
  • Esta manipulação pode ser usada para phishing, ocultar atividades maliciosas ou dificultar a deteção de ataques.

Por que o Cross-Site History Manipulation é perigoso?

Este ataque afeta diretamente a confiança do utilizador na navegação, podendo levá-lo a interagir com conteúdos falsos ou perigosos sem perceber. Além disso, dificulta a análise forense, pois o histórico manipulado pode ocultar rastros importantes para a investigação de incidentes.

Como se proteger contra Cross-Site History Manipulation

Empresas especializadas em segurança, com um SOC (Centro de Operações de Segurança) proativo, adotam estratégias para prevenir e mitigar esta ameaça:

1. Monitorização de scripts e conteúdos web

Deteção de scripts suspeitos que possam manipular o histórico do navegador e bloqueio desses conteúdos em ambientes corporativos.

2. Implementação de políticas CSP (Content Security Policy)

Restringe a execução de scripts não autorizados, prevenindo a injeção de código malicioso capaz de alterar o histórico do navegador.

3. Análise comportamental e deteção de anomalias

O SOC monitora padrões de navegação e comportamento do utilizador para identificar possíveis manipulações do histórico que possam indicar ataques.

4. Resposta rápida e mitigação

Ao detectar tentativas de Cross-Site History Manipulation, o SOC intervém para bloquear o ataque, notificar a equipa e proteger os utilizadores.

5. Educação e sensibilização

Workshops para colaboradores sobre os riscos da navegação insegura e identificação de sinais de manipulação maliciosa.

O papel do SOC Proativo

O SOC proativo combina tecnologias avançadas com análise humana para antecipar e responder rapidamente a ataques complexos como o Cross-Site History Manipulation, garantindo uma proteção contínua e eficaz.

Conclusão

O Cross-Site History Manipulation é uma ameaça que pode comprometer a navegação segura e a integridade dos sistemas da sua empresa. Contar com uma empresa de Managed Security Services e um SOC proativo é essencial para proteger a sua organização contra estas técnicas sofisticadas.

Invista em segurança para garantir uma experiência web segura e confiável para todos os seus utilizadores.

Publicado em por

O que é o Evil Maid Attack e como proteger a sua empresa

No universo da segurança informática, as ameaças não estão apenas na internet.
Alguns ataques exploram o acesso físico aos dispositivos, como o Evil Maid Attack, uma técnica que pode comprometer gravemente a segurança dos seus dados.

O que é o Evil Maid Attack?

O Evil Maid Attack é um ataque onde um invasor com acesso físico temporário a um dispositivo, como um portátil ou servidor, manipula o hardware ou software para instalar malware ou modificar a configuração, permitindo acesso futuro ou roubo de dados sem que o utilizador perceba.

Como funciona na prática?

  • O atacante tem acesso físico ao dispositivo quando o utilizador não está presente (exemplo: limpeza, manutenção, ou roubo).
  • Instala software malicioso, altera a BIOS/firmware ou instala keyloggers.
  • Quando o utilizador volta a usar o dispositivo, o atacante pode aceder remotamente às credenciais e dados.
  • O ataque é difícil de detetar, pois a manipulação pode ser invisível ao utilizador comum.

Por que o Evil Maid Attack é perigoso?

Este ataque explora a vulnerabilidade física dos dispositivos, podendo comprometer a integridade dos dados e o controlo dos sistemas, mesmo que todas as medidas de segurança online estejam em vigor.

Como uma empresa se protege contra o Evil Maid Attack?

As empresas podem adotar diversas estratégias para minimizar este risco:

1. Monitorização e deteção de alterações físicas e firmware

Uso de soluções que verificam a integridade da BIOS, firmware e hardware, alertando para modificações suspeitas que possam indicar um ataque.

2. Criptografia de disco e autenticação robusta

Implementação de criptografia completa do disco (como BitLocker ou LUKS) e autenticação multifator para dificultar o acesso não autorizado mesmo em caso de manipulação física.

3. Controlo rigoroso de acesso físico

Recomendações para políticas de segurança que limitam o acesso físico aos dispositivos e ambientes críticos, incluindo vigilância e controlo de pessoas autorizadas.

4. Resposta rápida a incidentes

O SOC proativo pode identificar sinais de ataque ou comportamento anómalo pós-manipulação e atuar para mitigar riscos e informar as equipas responsáveis.

5. Educação e sensibilização

Sessões de Sensibilização para colaboradores sobre os riscos do acesso físico não autorizado e melhores práticas para proteger os dispositivos.

O papel do SOC Proativo

Um SOC proativo não se limita à monitorização digital: também integra análise de eventos físicos e comportamentais, correlacionando informações para identificar potenciais ataques como o Evil Maid Attack, e reage rapidamente para minimizar impactos.

Conclusão

O Evil Maid Attack evidencia que a segurança física é tão importante quanto a digital. Contar com uma empresa de “Managed Security Services” e um SOC proativo garante uma abordagem holística para proteger a sua empresa contra ameaças internas e externas, assegurando a integridade dos seus sistemas e dados.

Invista em segurança e mantenha a sua empresa protegida contra todas as frentes de ataque.

Publicado em por

O que é Session Fixation e como proteger a sua empresa

No universo da segurança informática, a proteção das sessões de utilizador é fundamental para garantir que os dados e acessos permanecem seguros.
Um ataque sofisticado que explora vulnerabilidades na gestão de sessões é o Session Fixation.

O que é Session Fixation?

Session Fixation é um ataque onde o atacante força um utilizador a usar uma sessão específica, conhecida pelo atacante, para depois se aproveitar dessa sessão para aceder a informações ou funcionalidades sem autorização.

Como funciona na prática?

  • O atacante inicia uma sessão válida no site alvo e obtém o ID da sessão.
  • O atacante faz o utilizador aceder ao site com esse ID de sessão fixado, por exemplo através de um link manipulado.
  • O utilizador autentica-se normalmente, mas continua a usar a sessão fixada pelo atacante.
  • O atacante pode agora usar esse ID de sessão para assumir o controlo da sessão autenticada.

Por que o Session Fixation é perigoso?

Este ataque permite que um invasor se faça passar por um utilizador legítimo, acedendo a informações sensíveis e recursos protegidos sem precisar de obter as credenciais diretamente. Muitas vezes, é difícil de detectar sem monitorização adequada.

Como uma empresa de Managed Security Services protege contra Session Fixation

Ajudamos os nossos clientes dando sessões de sensibilizacão que permitem passar as tecnicas usadas pelos atacantes, garantindo assim uma maior reseliencia dos utilizadores a este tipo de ataque.

1. Gestão segura de sessões

Implementação de práticas como a renovação do ID de sessão após login, definição de tempos curtos de expiração e uso de cookies seguros (HttpOnly, Secure).

(web server monitoring)

2. Monitorização contínua de sessões ativas

O SOC realiza acompanhamento em tempo real dos padrões de sessão, identificando sessões com comportamento anómalo que podem indicar fixação ou sequestro.

(web server monitoring)

3. Análise de tráfego e deteção de tentativas de ataque

Ferramentas avançadas detectam links suspeitos, padrões de acesso incomuns e tentativas de reutilização de IDs de sessão fixados.

4. Resposta rápida e mitigação

Ao identificar um possível ataque, o SOC pode invalidar sessões comprometidas, forçar logout e notificar os responsáveis pela segurança.

5. Educação e boas práticas

Sessões de sensibilização para equipas de desenvolvimento e utilizadores finais sobre a importância da segurança nas sessões e como evitar vulnerabilidades.

O papel crucial do SOC Proativo

Um SOC proativo não só monitora e reage a incidentes, mas também analisa tendências para antecipar possíveis vetores de ataque como Session Fixation, ajustando as defesas de forma dinâmica e eficaz.

Conclusão

Session Fixation é uma ameaça silenciosa que pode comprometer o acesso e a segurança dos seus sistemas. Contar com uma empresa de Managed Security Services e um SOC proativo é fundamental para proteger as suas sessões de utilizador e garantir a integridade dos seus dados e operações.

Invista em segurança e mantenha a sua empresa um passo à frente dos atacantes.