Autor: Matheus Augusto da Silva Santos

Matheus Augusto da Silva Santos, aluno de Bacharelado em Ciências da Computação na UNESP – Universidade Estadual Paulista. Aspirante a engenheiro de software focado em uso de boas práticas de programação e segurança para elaboração de sistemas robustos, seguros e confiáveis.

Vol. 1 No. 20250707-572 (2025)

OSV — Recursos para Monitoramento de Vulnerabilidades em OSS

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 07/07/2025

Gostaria de trazer atenção para um recurso interessante, que descobri recentemente, para monitoramento de vulnerabilidades em software de código aberto (OSS, do inglês Open Source Software).

Open Source Vulnerabilities (OSV) é um banco de dados aberto que agrega informações sobre vulnerabilidades de mais de 15 fontes, fornecendo uma fonte de consulta centralizada sobre vulnerabilidades, suas severidades, software afetado e mitigações, dentre outras informações.

OSV Logo.
Logo da OSV. Fonte.

Graças aos esforços da empresa responsável, o formato OpenSSF para vulnerabilidades difundiu-se com sucesso. Este permite o relato de versões de software com a precisão necessária para serviços de automação (permitindo, por exemplo, a referência a um exato commit hash). Através deste, o OSV, utilizando métodos de bisseção automatizados e análise de versões, consegue enriquecer os registros de vulnerabilidades com as versões exatas dos softwares impactados.

O enriquecimento dos dados, graças às automações desenvolvidas, além de sua precisão devido ao formato bem projetado, auxiliam o trabalho de profissionais de segurança gerenciando e mitigando vulnerabilidades. Ambos reduzem significativamente o trabalho de identificação de versões afetadas, auxiliando-os a atuarem com mais rapidez e confiança.

Os dados disponibilizados cobrem vulnerabilidades em mais de 20 ecossistemas, incluindo:

A informação é entregue com agilidade, estando disponível usualmente no máximo 15 minutos após sua publicação nas fontes de dados base consultadas pelo serviço.

O serviço conta com uma página web e uma API para consulta dos dados, com um leque vasto de opções para consulta: vulnerabilidades individuais, pesquisa por software(s) afetado(s), e requisições em batch.

E por fim, e sinceramente o que mais me impressionou, uma ferramenta para escanear vulnerabilidades conhecidas em dependências de projetos em desenvolvimento: OSV-Scanner. Esta é disponibilizada como uma aplicação standalone, ou uma operação no GitHub Actions, permitindo monitoramento contínuo e automatizado por vulnerabilidades novas. Dentre escaneamento de contêineres Docker, ferramental para correção de vulnerabilidades semi-automaticamente, configurabilidade para relatórios focados em vulnerabilidades introduzidas, há muito para explorar e descobrir nessa ferramenta.

Estes recursos extremamente versáteis serão incorporados ao processo de desenvolvimento de software para nossos projetos internos na CYLO, para monitorar e mitigar vulnerabilidades em dependências externas dos mesmos.

Referências

  • OSV. Disponível em: <https://osv.dev/>.
  • Introduction to OSV. Disponível em: <https://google.github.io/osv.dev/>.
  • OSV-Scanner. Disponível em: <https://google.github.io/osv-scanner/>.
  • OSSF. GitHub – ossf/osv-schema: Open Source Vulnerability schema. Disponível em: <https://github.com/ossf/osv-schema>.
  • ‌CÁNEPA, G. 10 Top Most Popular Linux Distributions of 2020. Disponível em: <https://www.tecmint.com/top-most-popular-linux-distributions/>.
  • Mobile Operating System Market Share Worldwide | StatCounter Global Stats. Disponível em: <http://gs.statcounter.com/os-market-share/mobile/worldwide>.
  • The Most Popular Programming Languages – 1965/2024 – New Update –. Disponível em: <https://statisticsanddata.org/data/most-popular-programming-languages-1965-2024/>.
  • ‌STATISTA. Most Used Languages among Software Developers Globally 2019. Disponível em: <https://www.statista.com/statistics/793628/worldwide-developer-survey-most-used-languages/>.

Vol. 1 No. 20250509-262 (2025)

Quais as técnicas mais utilizadas por grupos de ransomware?

Matheus Augusto da Silva Santos | matheus@cylo.com.br | 09/05/2025

Se proteção contra ataques de ransomware for um objetivo almejado, a análise das técnicas mais utilizadas para tal é um caminho para priorização de medidas de defesa. Em particular, no framework MITRE ATT&CK1, existem associações entre as técnicas nele documentadas e:

  1. Fontes de dados (Data Sources) configuráveis para monitoramento e CTI;
  2. Mitigações (Mitigations) para defesa direta; e
  3. Recursos (Assets) afetados (este, porém, exclusivamente para técnicas da matriz ICS.)

Para a análise de dados neste post, utilizei os dados disponibilizados por Ransomware.live2. Em particular, seu endpoint de grupos de ransomware consta com mapeamentos de táticas, técnicas e procedimentos (TTPs) para um subconjunto dos grupos.

Infelizmente a parcela de grupos com TTPs mapeadas constitui somente aproximadamente 7% de todos os grupos disponíveis pela API. Torço que com o tempo, mais grupos sejam analisados.

Os 19 grupos com TTPs mapeadas analisados nesse post estão listados abaixo:

8base
BrainCipher
akira
alphv
bianlian
blackbasta
blacksuit
cactus
clop
crosslock
cuba
donex
dragonforce
hunters
medusa
ransomhub
royal
safepay
threeam

Análise da distribuição de táticas

Abaixo, o número de ocorrências de todas as táticas associadas a atividades dos grupos:

Curiosamente, não há mapeamentos para técnicas de TA0043 — Reconnaissance. Isso potencialmente incorre que os grupos analisados utilizam primariamente técnicas passivas3 para esse fim.

Análise da distribuição de técnicas

Abaixo, o número de ocorrências das técnicas mais frequentes (com associações a 5 ou mais grupos):

Não surpreendentemente, a técnica mais frequentemente associada é T1486 — Data Encrypted for Impact. Os únicos dois grupos não associados a ela foram blackbasta e cuba.

Dentre as técnicas listadas, uma que me chamou atenção é T1078 — Valid Accounts: por fazer parte de múltiplas tácticas (quatro no total), observa-se que grupos diferentes foram mapeados à mesma técnica, porém com objetivos distintos. Neste caso, especificamente, temos a seguinte partição:

TA001
Initial Access		TA003
Persistence		TA004
Privilege Escalation
akira🎯
alphv🎯🎯🎯
blacksuit🎯
clop🎯
medusa🎯
safepay🎯🎯🎯
Mapeamento das táticas de grupos utilizando a técnica T1078 — Valid Accounts

Interessantemente, nenhum grupo foi associado a esta técnica almejando a tática TA0005 — Defense Evasion.

Uma partição de táticas similar ocorreu com T1543.003 — Create or Modify System Process: Windows Service, porém em menor grau por esta técnica fazer parte de somente duas táticas.

A proporção entre técnicas base e sub-técnicas dentre as 15 mais frequentes também me intrigou. Técnicas base, por serem mais gerais, possuem maior chance de serem mapeadas a um comportamento observado. Naturalmente, portanto, elas representam a maioria das técnicas mais comuns.

Notavelmente, dentre as sete sub-técnicas presentes nesta listagem, quatro se referem a ações específicas para Windows/PowerShell. Considerando a popularidade do Windows no mercado4, suponho que faça sentido técnicas tão específicas fazerem parte da distribuição das mais comuns.

Conclusão

É importante relevar que os dados aqui analisados não representam a totalidade das complexidades do mundo de cibersegurança. Primeiramente, um mapeamento completo e estático para o comportamento de grupos de ransomware é impraticável. Adicionalmente, o framework ATT&CK não afirma ser uma fonte completa para todos os potenciais comportamentos de adversários5. Em particular, enfatizo o seguinte trecho:

“Don’t limit yourself to the matrix. Remember the ATT&CK matrix only documents observed real-world behaviors. Adversaries may have a series of other behaviors they use that have not been documented yet.”

Apesar da quantidade de dados limitados, foi possível fazer algumas inferências interessantes com as distribuições observadas.

A aplicabilidade dos dados observados para priorização de medidas de segurança, porém, necessita ainda da análise dos mapeamentos entre técnicas e outros elementos. Como citado no início, associações com mitigações seriam um ponto de estudo interessante.

Referências

  1. MITRE. MITRE ATT&CK®. Disponível em: <https://attack.mitre.org>. ↩︎
  2. Ransomware.live 👀. Disponível em: <https://www.ransomware.live>. ↩︎
  3. OGIDI U. O. C. Passive Reconnaissance Techniques. Disponível em: <https://pentescope.com/passive-reconnaissance-techniques/>. ↩︎
  4. SHERIF, A. Windows operating system market share by version 2017-2019 | Statista. Disponível em: <https://www.statista.com/statistics/993868/worldwide-windows-operating-system-market-share/>. ↩︎
  5. General Information | MITRE ATT&CK®. Disponível em: <https://attack.mitre.org/resources/>. ↩︎