{"id":195729,"date":"2017-10-25T05:33:54","date_gmt":"2017-10-25T03:33:54","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=195729"},"modified":"2022-08-09T16:27:15","modified_gmt":"2022-08-09T14:27:15","slug":"achtung-badrabbit-ransomware-ausbruch-in-osteuropa","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/10\/25\/achtung-badrabbit-ransomware-ausbruch-in-osteuropa\/","title":{"rendered":"Achtung: #BadRabbit-Ransomware-Ausbruch in Osteuropa"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"http:\/\/borncity.com\/win\/2017\/10\/25\/badrabbit-ransomware-outbreak-in-eastern-europe\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Dringende Warnung an alle Administratoren in Firmenumgebungen. In Osteuropa findet gerade ein Ausbrauch einer BadRabbit genannten Ransomware statt. Betroffen sind Windows-System und Netzwerke in Firmenumgebungen. Erg\u00e4nzung: M\u00f6glicherweise ist ein Killswitch gefunden.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/e4b691204b7748838462b5fb35a05207\" alt=\"\" width=\"1\" height=\"1\" \/>Im Fr\u00fchsommer haben wir ja den Angriff der NotPetya-Ransomware aus der Ukraine erlebt (siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/30\/wannacry-clone-ransomware-befllt-systeme-in-der-ukraine\/\">WannaCry Clone Ransomware bef\u00e4llt Systeme in der Ukraine<\/a>), die \u00fcber eine kompromittierte Steuersoftware M.E.Doc per Update verbreitet wurde und vor allem Unternehmen mit Verbindungen in die Ukraine betraf. Vor wenigen Tagen hatte ich den Artikel <a href=\"https:\/\/borncity.com\/blog\/2017\/10\/16\/warnung-vor-neuem-notpetya-hnlichem-cyber-angriff\/\">Warnung vor neuem NotPetya-\u00e4hnlichem Cyber-Angriff<\/a> im Blog, wo genau vor einer Wiederholung dieses Szenarios gewarnt wurde.<\/p>\n<h2>BadRabbit-Ransomware-Ausbruch<\/h2>\n<p>Genau dieser Ausbruch scheint jetzt stattgefunden zu haben. Bei Bleeping Computer <a href=\"https:\/\/web.archive.org\/web\/20211113180003\/https:\/\/www.bleepingcomputer.com\/news\/security\/bad-rabbit-ransomware-outbreak-hits-eastern-europe\/\" target=\"_blank\" rel=\"noopener\">berichtet<\/a> man \u00fcber die BadRabbit-Ransomware, die wohl seit wenigen Stunden in vielen osteurop\u00e4ischen L\u00e4ndern verheerende Sch\u00e4den angerichtet hat. Es sind sowohl Regierungsbeh\u00f6rden als auch private Unternehmen betroffen. Aktuell verbreitet sich die Infektion wohl in L\u00e4ndern wie Russland, die Ukraine, Bulgarien und der T\u00fcrkei.<\/p>\n<p>Zu den best\u00e4tigten Opfern geh\u00f6ren der Flughafen Odessa in der Ukraine, das U-Bahn-System von Kiew in der Ukraine, das ukrainische Ministerium f\u00fcr Infrastruktur und drei russische Nachrichtenagenturen, darunter Interfax und Fontanka. Das ukrainische CERT-Team hat eine Warnmeldung ver\u00f6ffentlicht und warnt ukrainische Unternehmen vor diesem neuen Ausbruch.<\/p>\n<h2>Verbreitung per Fake Flash-Update<\/h2>\n<p>Antivirushersteller ESET schreibt in <a href=\"https:\/\/twitter.com\/jiriatvirlab\/status\/922835700873158661\" target=\"_blank\" rel=\"noopener\">einem Tweet<\/a>, dass die Verbreitung per Fake Flash-Update erfolgt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/ESET?src=hash&amp;ref_src=twsrc%5Etfw\">#ESET<\/a> confirms Discoder\/<a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\">#Petya<\/a>\/<a href=\"https:\/\/twitter.com\/hashtag\/BadRabbit?src=hash&amp;ref_src=twsrc%5Etfw\">#BadRabbit<\/a> campaign live today, incorporating <a href=\"https:\/\/twitter.com\/hashtag\/Mimikatz?src=hash&amp;ref_src=twsrc%5Etfw\">#Mimikatz<\/a> distribuded via fake flash. More info soon. <a href=\"https:\/\/t.co\/lUpkmdG2ox\">pic.twitter.com\/lUpkmdG2ox<\/a><\/p>\n<p>\u2014 Jiri Kropac (@jiriatvirlab) <a href=\"https:\/\/twitter.com\/jiriatvirlab\/status\/922835700873158661?ref_src=twsrc%5Etfw\">24. Oktober 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Auch Proofpoint-Sicherheitsforscher <a href=\"https:\/\/twitter.com\/darienhuss\/status\/922847966767042561\" target=\"_blank\" rel=\"noopener\">best\u00e4tigen diesen Ansatz<\/a> und sagen, dass Bad Rabbit urspr\u00fcnglich \u00fcber ein Fake Flash Update verbreitet wurde.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/BadRabbit?src=hash&amp;ref_src=twsrc%5Etfw\">#BadRabbit<\/a> was spread by a fake Adobe Flash Player installer hosted here: 1dnscontrol[.]com, found by <a href=\"https:\/\/twitter.com\/ESET?ref_src=twsrc%5Etfw\">@ESET<\/a> <a href=\"https:\/\/t.co\/2z8g3tmzMe\">https:\/\/t.co\/2z8g3tmzMe<\/a><\/p>\n<p>\u2014 Darien Huss (@darienhuss) <a href=\"https:\/\/twitter.com\/darienhuss\/status\/922847966767042561?ref_src=twsrc%5Etfw\">24. Oktober 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Proofpoint schreibt aber weiter, dass die Ransomware mit Tools daher komme, die die weitere Verbreitung \u00fcber ein Netzwerk erm\u00f6gliche. Dies bewirkte, dass sich die Ransomware binnen kurzer Zeit \u00fcber komplette Organisationen ausbreiten kann.<\/p>\n<h2>Ausbreitungsweg und Schadroutine<\/h2>\n<p>Basierend auf ersten Analysen von <a href=\"https:\/\/twitter.com\/jiriatvirlab\/status\/922835700873158661\" target=\"_blank\" rel=\"noopener\">ESET<\/a>, <a href=\"https:\/\/twitter.com\/fwosar\/status\/922865068169138176\" target=\"_blank\" rel=\"noopener\">Emsisoft<\/a> und <a href=\"https:\/\/twitter.com\/MaartenVDantzig\/status\/922854232176422912\" target=\"_blank\" rel=\"noopener\">Fox-IT<\/a> nutzt Bad Rabbit Mimikatz, um Zugangsdaten aus dem lokalen Speicher des Systems zu extrahieren, hat aber auch fest codierte Zugangscodes. Damit versucht die Ransomware sich \u00fcber weitere Server und Workstations per Netzwerk zu verbreiten.<\/p>\n<p>Die Ransomware verwendet wohl DiskCryptor (eine Open Source-Verschl\u00fcsselungssoftware), um die Dateien zu verschl\u00fcsseln (wurde beim Angriff auf das Nahverkehrssystem in San Francisco verwendet, siehe <a href=\"https:\/\/borncity.com\/blog\/2016\/11\/28\/pnv-hack-in-san-franzisko\/\">\u00d6PNV-Hack in San Franzisko<\/a>). Sobald Bad Rabbit die Infektion erledigt hat, startet es den PC des Benutzers neu. Im modifizierten Master Boot Record (MBR) findet sich dann Code, der eine L\u00f6segeld-Forderung anzeigt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/BadRabbit?src=hash&amp;ref_src=twsrc%5Etfw\">#BadRabbit<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cryptor?src=hash&amp;ref_src=twsrc%5Etfw\">#cryptor<\/a> attacked a number of Russia's major media. <a href=\"https:\/\/twitter.com\/interfax_news?ref_src=twsrc%5Etfw\">@interfax_news<\/a> <a href=\"https:\/\/t.co\/5iLNs131Ml\">pic.twitter.com\/5iLNs131Ml<\/a><\/p>\n<p>\u2014 Group-IB (@GroupIB_GIB) <a href=\"https:\/\/twitter.com\/GroupIB_GIB\/status\/922819835494649856?ref_src=twsrc%5Etfw\">24. Oktober 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Vom Opfer wird der Zugriff auf eine Seite im Tor-Netzwerk gefordert. Dort wird er zur Zahlung eines L\u00f6sesgelds in H\u00f6he von 0,05 Bitcoin (ca. $280) aufgefordert. Die Opfer haben etwas mehr als 40 Stunden Zeit, bis die L\u00f6segeldsumme steigt. Die L\u00f6segeldforderung ist fast identisch mit der, die NotPetya bei dem Ausbruch im Juni verwendet hat. Trotzdem gibt es wenig \u00c4hnlichkeit mit NotPetya. Sicherheitsforscher <a href=\"https:\/\/twitter.com\/jaytezer\/status\/922875751174758400\" target=\"_blank\" rel=\"noopener\">Intezer<\/a> behauptet, dass es nur 13% \u00dcbereinstimmung des Code zwischen Bad Rabbit und NotPetya gibt. Ein paar zus\u00e4tzliche Informationen kann man dem <a href=\"https:\/\/web.archive.org\/web\/20211113180003\/https:\/\/www.bleepingcomputer.com\/news\/security\/bad-rabbit-ransomware-outbreak-hits-eastern-europe\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer-Beitrag<\/a> entnehmen.<\/p>\n<h2>Erg\u00e4nzungen: Erste Analysen<\/h2>\n<p>Der Beitrag ist die Nacht entstanden &#8211; inzwischen gibt es Blog-Beitr\u00e4ge diverser Sicherheitsfirmen zum Angriff. Malwarebytes hat in <a href=\"https:\/\/blog.malwarebytes.com\/threat-analysis\/2017\/10\/badrabbit-closer-look-new-version-petyanotpetya\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag e<\/a>inige Details offen gelegt. Hier ist die Anzeige, die nach der Infektion erscheint.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Bad Rabbit Meldung\" src=\"https:\/\/web.archive.org\/web\/20220531112315\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/botlocker1.png\" alt=\"Bad Rabbit Meldung\" width=\"724\" height=\"405\" \/><\/p>\n<p>Und dies ist die Webseite im Tor-Netzwerk, auf der die Betroffenen weitere Informationen finden. Dort erscheint auch der Counter mit der Restzeit, bevor der Preis f\u00fcr das L\u00f6segeld steigt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-20250 size-full\" title=\"Bad Rabbit Tor-Seite\" src=\"https:\/\/web.archive.org\/web\/20210924210653\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/rabbit_page.png\" sizes=\"auto, (max-width: 993px) 100vw, 993px\" srcset=\"https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/rabbit_page.png 993w, https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/rabbit_page-300x211.png 300w, https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/rabbit_page-600x422.png 600w\" alt=\"Bad Rabbit Tor-Seite\" width=\"993\" height=\"699\" \/><\/p>\n<p>Die Infektion startet mit einer PE-Datei (dem gefakten Flash Player Update). Dann kommt wohl eine <em>infpub.dat <\/em>ins Spiel (\u00e4hnlich, wie bei NotPetya), die zwei Funktionen als DLL exportiert. Die erste enth\u00e4lt den Dropper, der die Malware (den Infector) auf andere Rechner im LAN verteilt. Unter anderem wird WMIC verwendet, um die Module auf entfernten Rechnern einzusetzen. Der verantwortliche Code \u00e4hnelt den Elementen von Petya\/NotPetya.<\/p>\n<p>Dann wird versucht, Anmeldedaten f\u00fcr Maschinen aus dem Speicher mittels eines Mimikatz-Moduls zu ermitteln. Parallel dazu hat dieses Modul noch eine Liste generischer Anmeldedaten gespeichert, die ebenfalls probiert werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-20260 size-full\" title=\"Anmeldedaten\" src=\"https:\/\/web.archive.org\/web\/20210924210706\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/usernames_passwords.png\" sizes=\"auto, (max-width: 826px) 100vw, 826px\" srcset=\"https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/usernames_passwords.png 826w, https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/usernames_passwords-300x235.png 300w, https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/10\/usernames_passwords-600x469.png 600w\" alt=\"Anmeldedaten\" width=\"826\" height=\"646\" \/><\/p>\n<p>Ein EternalBlue Exploit ist damit zur Verbreitung nicht erforderlich. Die Verschl\u00fcsselung der Dateien erfolgt \u00fcber eine DLL mit Hilfe der Windows Crypto API. Dabei bleiben die folgenden Verzeichnisse ausgespart.<\/p>\n<p>\\\\Windows<br \/>\n\\\\Program Files<br \/>\n\\\\ProgramData<br \/>\n\\\\AppData<\/p>\n<p>Auf <a href=\"https:\/\/pastebin.com\/CwZfyY2F\" target=\"_blank\" rel=\"noopener\">Pastbin<\/a> sind die Dateinamen der verschl\u00fcsselten Dateien angegeben.<\/p>\n<p>ESET schreibt auf <a href=\"https:\/\/web.archive.org\/web\/20220417110507\/https:\/\/www.welivesecurity.com\/2017\/10\/24\/bad-rabbit-not-petya-back\/\" target=\"_blank\" rel=\"noopener\">welivesecurity.com<\/a>, dass eine der Distributionsmethoden von Bad Rabbit ein Drive-by-Download per Watering-Hole verwendet. Einige beliebte Websites sind kompromittiert und enthalten JavaScript in ihren HTML-Dateien oder in einer ihrer js-Datei injiziert. Erg\u00e4nzung: Hier eine Liste infizierter Medienseiten.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/BadRabbit?src=hash&amp;ref_src=twsrc%5Etfw\">#BadRabbit<\/a> was spread via web traffic from compromised media sites. <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\">#infosec<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\">#ransomware<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cryptor?src=hash&amp;ref_src=twsrc%5Etfw\">#cryptor<\/a> <a href=\"https:\/\/t.co\/7GPsgZ2s3A\">pic.twitter.com\/7GPsgZ2s3A<\/a><\/p>\n<p>\u2014 Group-IB (@GroupIB_GIB) <a href=\"https:\/\/twitter.com\/GroupIB_GIB\/status\/922972032098291718?ref_src=twsrc%5Etfw\">24. Oktober 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dort gibt man an, dass der Win32\/Diskcoder.D genannte Sch\u00e4dling sich per SMB verbreiten kann &#8211; wobei kein EthernalBlue-Exploit verwendet werde. ESET gibt folgende Infektionsstatistik an:<\/p>\n<ul>\n<li>Russia: 65%<\/li>\n<li>Ukraine: 12.2%<\/li>\n<li>Bulgaria: 10.2%<\/li>\n<li>Turkey: 6.4%<\/li>\n<li>Japan: 3.8%<\/li>\n<li>Other: 2.4%<\/li>\n<\/ul>\n<p>Noch ist das Ganze auf den Osten Europas und Japan begrenzt. Vom US-CERT gibt es nun <a href=\"https:\/\/www.us-cert.gov\/ncas\/current-activity\/2017\/10\/24\/Multiple-Ransomware-Infections-Reported\" target=\"_blank\" rel=\"noopener\">diese Warnung<\/a>. Und bei heise.de findet sich <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/BadRabbit-Wohl-immer-mehr-Ziele-von-neuem-Kryptotrojaner-getroffen-3870349.html\" target=\"_blank\" rel=\"noopener\">dieser Beitrag<\/a>.<\/p>\n<h2>M\u00f6glicher Killswitch<\/h2>\n<p>Inzwischen haben Sicherheitsforscher angeblich auch Wege gefunden, die Ausbreitung des Sch\u00e4dlings auf Windows-Rechnern zu unterbinden. In <a href=\"https:\/\/mobile.twitter.com\/0xAmit\/status\/922911491694694401\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> werden einige Ans\u00e4tze beschrieben.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">I can confirm &#8211; Vaccination for <a href=\"https:\/\/twitter.com\/hashtag\/badrabbit?src=hash&amp;ref_src=twsrc%5Etfw\">#badrabbit<\/a>:<br \/>\nCreate the following files c:\\windows\\infpub.dat &amp;&amp; c:\\windows\\cscc.dat &#8211; remove ALL PERMISSIONS (inheritance) and you are now vaccinated. :) <a href=\"https:\/\/t.co\/5sXIyX3QJl\">pic.twitter.com\/5sXIyX3QJl<\/a><\/p>\n<p>\u2014 Amit Serper\u200b (@0xAmit) <a href=\"https:\/\/twitter.com\/0xAmit\/status\/922911491694694401?ref_src=twsrc%5Etfw\">October 24, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Es sollen angeblich die folgenden Dateien angelegt und die Zugriffsrechte entzogen werden:<\/p>\n<p>c:\\windows\\infpub.dat<br \/>\nc:\\windows\\cscc.dat<\/p>\n<p>Damit kann die Schadsoftware nicht mehr auf ihre Export-DLL sowie auf die Kontrolldatei zugreifen. Die <em>cscc.dat<\/em> ist der umbenannte <em>dcrypt.sys<\/em>-Treiber zur Verschl\u00fcsselung. Erg\u00e4nzung: Die Information findet sich in <a href=\"https:\/\/web.archive.org\/web\/20210423013404\/https:\/\/www.cybereason.com\/blog\/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a>, wo eine detaillierte Anleitung zu finden ist. Erg\u00e4nzung: Auch Kaspersky hat <a href=\"https:\/\/securelist.com\/bad-rabbit-ransomware\/82851\/\" target=\"_blank\" rel=\"noopener\">hier <\/a>einige Details offen gelegt. Ein weiterer Benutzer <a href=\"https:\/\/twitter.com\/rikvduijn\/status\/922916097459863552\" target=\"_blank\" rel=\"noopener\">gibt die folgenden Dateien<\/a> an, denen er die Benutzerrechte entzogen hat.<\/p>\n<p>%windir%\\infpub.dat<br \/>\n%windir%\\dispci.exe<\/p>\n<p>Das Ganze ist unter Vorbehalt zu sehen, ich kann und werde es nicht testen.<\/p>\n<p><strong>Nachtrag 1<\/strong>: Laut <a href=\"https:\/\/twitter.com\/lorenzoFB\/status\/922946057318871041\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a>\u00a0will Kaspersky die verschl\u00fcsselten Dateien erfolgreich entschl\u00fcsselt haben.\u00a0Kaspersky hat <a href=\"https:\/\/securelist.com\/bad-rabbit-ransomware\/82851\/\" target=\"_blank\" rel=\"noopener\">hier <\/a>einige Details zum Verschl\u00fcsselungstrojaner offen gelegt (dort habe ich aber noch nichts zur Entschl\u00fcsselung gefunden). Allerdings gibt Kasperky im Beitrag explizit an, dass Infektionen in Deutschland festgestellt wurden &#8211; das Thema spielt also nicht mehr im fernen Osteuropa oder in Russland. Weitere Analysen finden sich bei <a href=\"http:\/\/blog.talosintelligence.com\/2017\/10\/bad-rabbit.html\" target=\"_blank\" rel=\"noopener\">Talos<\/a>\u00a0und bei <a href=\"https:\/\/web.archive.org\/web\/20210320002437\/https:\/\/labs.bitdefender.com\/2017\/10\/bad-rabbit-ransomware-strikes-ukraine-likely-related-to-goldeneye\/\" target=\"_blank\" rel=\"noopener\">Bitdefender<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Dringende Warnung an alle Administratoren in Firmenumgebungen. In Osteuropa findet gerade ein Ausbrauch einer BadRabbit genannten Ransomware statt. Betroffen sind Windows-System und Netzwerke in Firmenumgebungen. Erg\u00e4nzung: M\u00f6glicherweise ist ein Killswitch gefunden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-195729","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/195729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=195729"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/195729\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=195729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=195729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=195729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}