CyberOps Associate (Versão 1 0) Módulos 13 a 17 Exame de Grupo de Ameaças e Ataques

Prévia do material em texto

CyberOps Associate (Versão 1.0) – Módulos 13 – 17: Exame de Grupo de Ameaças e Ataques
1. Qual é a característica significativa do malware de worm?
· O malware worm se disfarça de software legítimo.
· Uma vez instalado em um sistema host, um worm não se replica.
· Um verme deve ser acionado por um evento no sistema host.
· Um worm pode executar independentemente do sistema host.
Explicação: O malware worm pode executar e copiar-se sem ser acionado por um programa de host. É uma ameaça significativa à segurança da rede e da Internet.
2. Quais são os três principais componentes de um ataque de vermes? (Escolha três.)
· uma carga útil
· um mecanismo de propagação
· uma vulnerabilidade infectante
· um mecanismo de sondagem
· uma vulnerabilidade de habilitação
· um mecanismo de penetração
Explicação: Um computador pode ter um worm instalado através de um anexo de e-mail, um arquivo de programa executável ou um Cavalo de Tróia. O ataque de worm não só afeta um computador, mas se replica para outros computadores. O que o worm deixa para trás é a carga – o código que resulta em alguma ação.
3. Um usuário está curioso sobre como alguém pode saber que um computador foi infectado por malware. Quais são dois comportamentos comuns de malware? (Escolha dois.)
· O computador emite um som de assoante toda vez que o apontador de lápis é usado.
· O computador emite um bipe uma vez durante o processo de inicialização.
· O computador fica cada vez mais lento para responder.
· Nenhum som emite quando um CD de áudio é reproduzido.
· O computador congela e requer reinicializações.
Explicação: Sintomas comuns de computadores infectados com malware:
Aparência de arquivos, aplicativos ou ícones de desktopAsssegurança
ferramentas como software antivírus ou firewalls desligados ou alteradosOs
e-mails do sistema enviados espontaneamente para outrosSemucimentosmodificados
ou ausentesSócisão
do sistema ou do navegador Processos
ou serviços de execução
de portas TCP ou UDP abertasExecções
de armazenamento feitas para dispositivos remotos desconhecidos
4. Quais dois tipos de ataques são exemplos de ataques de reconhecimento? (Escolha dois.)
· força bruta
· varredura de porta
· varredura ping
· homem no meio
· Inundação syn
Explicação: Ataques de reconhecimento tentam coletar informações sobre os alvos. As varreduras de ping indicarão quais hosts estão em pé e respondendo a pings, enquanto as varreduras das portas indicarão em quais portas TCP e UDP o alvo está ouvindo conexões recebidas. Ataques de força no meio e no meio são exemplos de ataques de acesso, e uma inundação syn é um exemplo de um ataque de negação de serviço (DoS).
5. Um administrador descobre uma vulnerabilidade na rede. Na análise da vulnerabilidade, o administrador decide que o custo de gestão do risco supera o custo do próprio risco. O risco é aceito, e nenhuma ação é tomada. Qual estratégia de gestão de riscos foi adotada?
· transferência de risco
· aceitação de risco
· redução de risco
· evitar riscos
Explicação: Aceitação de risco é quando o custo das opções de gerenciamento de risco supera o custo do risco em si, o risco é aceito e nenhuma ação é tomada.
6. Qual protocolo é explorado por cibercriminosos que criam iFrames maliciosos?
· HTTP
· DNS
· ARP
· DHCP
Explicação: Um elemento HTML conhecido como quadro interno ou iFrame permite que o navegador carregue uma página da Web diferente de outra fonte.
7. Como um ataque de tunelamento de DNS pode ser mitigado?
· impedindo que dispositivos usem ARP gratuito
· usando um filtro que inspeciona o tráfego de DNS
· garantindo todas as contas do proprietário do domínio
· usando senhas fortes e autenticação de dois fatores
Explicação: Para ser capaz de parar o túnel DNS, deve ser utilizado um filtro que inspecione o tráfego de DNS. Além disso, soluções DNS como o Cisco OpenDNS bloqueiam grande parte do tráfego de túneis DNS, identificando domínios suspeitos.
8. Qual é a função de um ARP gratuito enviado por um dispositivo em rede quando ele se inicializado?
· para solicitar o nome netbios do sistema conectado
· para solicitar o endereço MAC do servidor DNS
· para solicitar o endereço IP da rede conectada
· para aconselhar dispositivos conectados de seu endereço MAC
Explicação: Um ARP gratuito é frequentemente enviado quando um dispositivo inicial é inicializado para informar todos os outros dispositivos na rede local do endereço MAC do novo dispositivo.
9. Qual é o resultado de um ataque passivo de envenenamento por ARP?
· Os dados são modificados no trânsito ou dados maliciosos são inseridos no trânsito.
· Os clientes da rede experimentam uma negação de serviço.
· Informações confidenciais são roubadas.
· Vários subdomínios são criados.
Explicação: Ataques de envenenamento por ARP podem ser passivos ou ativos. O resultado de um ataque passivo é que os cibercriminosos roubam informações confidenciais. Com um ataque ativo, os cibercriminosos modificam dados no trânsito ou injetam dados maliciosos.
10. Quais são os dois métodos usados pelos cibercriminosos para mascarar ataques de DNS? (Escolha dois.)
· reflexão
· sombreamento
· algoritmos de geração de domínio
· fluxo rápido
· encapsulamento
Explicação: O fluxo rápido, o fluxo IP duplo e os algoritmos de geração de domínio são usados por crimes cibernéticos para atacar servidores DNS e afetar os serviços de DNS. O fluxo rápido é uma técnica usada para ocultar sites de entrega de phishing e malware por trás de uma rede de hosts DNS comprometidos (bots dentro de botnets). A técnica de fluxo IP duplo muda rapidamente o nome do host para mapeamentos de endereços IP e o servidor de nome autoritário. Algoritmos de geração de domínio geram aleatoriamente nomes de domínio para serem usados como pontos de encontro.
11. Combine a ferramenta de segurança com a descrição. (Nem todas as opções se aplicam.)
11. Combine a ferramenta de segurança com a descrição. (Nem todas as opções se aplicam.)
12. Combine o tipo de ciberataques com a descrição. (Nem todas as opções são usadas.)
13. Combine os atores de ameaça com as descrições. (Nem todas as opções são usadas.)
· hacktivistas : atores de ameaça que protestam publicamente contra organizações ou governos postando artigos, vídeos, vazando informações confidenciais e realizando ataques de negação de serviço distribuído (DDoS)
· script kiddies : atores de ameaça inexperientes executando scripts, ferramentas e explorações existentes, para causar danos, mas normalmente não para o lucro
· Patrocinado pelo Estado: atores de ameaças que roubam segredos do governo, reúnem informações e sabotam redes de governos estrangeiros, grupos terroristas e corporações
14. Que cenário descreve um corretor de vulnerabilidades?
· um adolescente executando scripts, ferramentas e explorações existentes, para causar danos, mas normalmente não para o lucro
· um ator ameaça tentando descobrir explorações e denunciá-los aos fornecedores, às vezes para prêmios ou recompensas
· um ator ameaça publicamente protestando contra os governos, postando artigos e vazando informações confidenciais
· um ator de ameaça patrocinado pelo Estado que rouba segredos do governo e sabota redes de governos estrangeiros
Explicação: Os corretores de vulnerabilidades geralmente se referem a hackers de chapéu cinza que tentam descobrir explorações e denunciá-las a fornecedores, às vezes por prêmios ou recompensas.
15. Em que tipo de ataque um cibercriminoso está tentando impedir que usuários legítimos acessem serviços de rede?
· Dos
· sequestro de sessão
· MITM
· paródia endereço
Explicação: Em um Ataque DoS ou negação de serviço, o objetivo do invasor é impedir que usuários legítimos acessem serviços de rede.
16. Qual campo no cabeçalho IPv6 aponta para informações opcionais de camada de rede que são transportadas no pacote IPv6?
· classe de tráfego
· versão
· rótulo de fluxo
· próximo cabeçalho
Explicação: As informações opcionais da Camada 3 sobre fragmentação, segurança e mobilidade são transportadas dentro de cabeçalhos de extensão em um pacote IPv6. O próximo campo de cabeçalhodo cabeçalho IPv6 atua como um ponteiro para estes cabeçalhos de extensão opcionais se eles estiverem presentes.
17. Que tipo de ataque é realizado por atores de ameaças contra uma rede para determinar quais endereços IP, protocolos e portas são permitidos pelas ACLs?
· engenharia social
· negação de serviço
· phishing
· reconhecimento
Explicação: Os ACLs de filtragem de pacotes usam regras para filtrar o tráfego de entrada e saída. Essas regras são definidas especificando endereços IP, números de porta e protocolos a serem combinados. Os atores de ameaças podem usar um ataque de reconhecimento envolvendo testes de varredura ou penetração de portas para determinar quais endereços IP, protocolos e portas são permitidos por ACLs.
18. Que tipo de mensagem icmp pode ser usada por atores de ameaças para criar um ataque homem no meio?
· Pedido de eco do ICMP
· ICMP inalcançável
· ICMP redireciona
· Resposta da máscara do ICMP
Explicação: As mensagens comuns do ICMP de interesse para atores de ameaças incluem o seguinte pedido de
eco do ICMP e resposta ecológica: usado para realizar a verificação do host e ataques
do DoSICMP inalcançáveis: usado para realizar ataques de reconhecimento de rede e varredura
RESPOSTA da máscara DOICMP: usado para mapear um redirecionamento interno da rede
IPICMP: usado para atrair um host alvo para enviar todo o tráfego através de um dispositivo comprometido e criar um ataque
homem-no-meio Descoberta do roteador ICMP: usada para injetar entradas de rota falsas na tabela de roteamento de um host alvo
19. Quais são os dois propósitos de lançar um ataque de reconhecimento em uma rede? (Escolha dois.)
· para escalar privilégios de acesso
· para impedir que outros usuários acessem o sistema
· para digitalizar para acessibilidade
· para coletar informações sobre a rede e dispositivos
· para recuperar e modificar dados
Explicação: Reunir informações sobre uma rede e procurar acesso é um ataque de reconhecimento. Impedir que outros usuários acessem um sistema é um ataque de negação de serviço. Tentar recuperar e modificar dados e tentar aumentar os privilégios de acesso são tipos de ataques de acesso.
20. Que tipo de ataque de rede envolve abrir aleatoriamente muitas solicitações da Telnet a um roteador e resulta em um administrador de rede válido não podendo acessar o dispositivo?
· Envenenamento por DNS
· homem no meio
· Inundações syn
· falsificação
Explicação: O ataque TCP SYN Flood explora o aperto de mão tcp de três vias. O ator de ameaças envia continuamente pacotes de solicitação de sessão TCP SYN com um endereço IP de origem falsificada aleatoriamente para um alvo pretendido. O dispositivo de destino responde com um pacote TCP SYN-ACK para o endereço IP falsificado e aguarda um pacote TCP ACK. Essas respostas nunca chegam. Eventualmente, o host alvo é sobrecarregado com conexões TCP semiabertas e nega serviços TCP.
21. Qual funcionalidade é fornecida pelo Cisco SPAN em uma rede comutadas?
· Ele espelha o tráfego que passa por uma porta de switch ou VLAN para outra porta para análise de tráfego.
· Evita que o tráfego em uma LAN seja interrompido por uma tempestade de transmissão.
· Ele protege a rede comutária de receber BPDUs em portas que não deveriam recebê-las.
· Ele copia o tráfego que passa por uma interface de switch e envia os dados diretamente para um syslog ou servidor SNMP para análise.
· Ele inspeciona protocolos de voz para garantir que as solicitações SIP, SCCP, H.323 e MGCP estejam em conformidade com os padrões de voz.
· Ele mitiga ataques de estouro de endereço MAC.
Explicação: Span é uma tecnologia Cisco usada pelos administradores de rede para monitorar tráfego suspeito ou capturar tráfego a ser analisado.
22. Qual declaração descreve uma característica operacional do NetFlow?
· O NetFlow coleta informações básicas sobre o fluxo do pacote, não os dados de fluxo em si.
· O NetFlow captura todo o conteúdo de um pacote.
· Os registros de fluxo do NetFlow podem ser visualizados pela ferramenta tcpdump.
· O NetFlow pode fornecer serviços para controle de acesso ao usuário.
Explicação: O NetFlow não captura todo o conteúdo de um pacote. Em vez disso, o NetFlow coleta metadados ou dados sobre o fluxo, não os dados de fluxo em si. As informações do NetFlow podem ser visualizadas com ferramentas como nfdump e FlowViewer.
23.. Combine a solução de monitoramento de rede com uma descrição. (Nem todas as opções são usadas.)
24. Qual tecnologia é um sistema SIEM proprietário?
· StealthWatch
· Coletor NetFlow
· Agente SNMP
· Splunk
Explicação: O Security Information Event Management (SIEM) é uma tecnologia que é usada em organizações corporativas para fornecer relatórios em tempo real e análise de longo prazo de eventos de segurança. Splunk é um sistema SIEM proprietário.
25. Quais são as três funcionalidades fornecidas pelo SOAR? (Escolha três.)
· Automatiza procedimentos e investigações complexas de resposta a incidentes.
· Ele fornece estatísticas de 24×7 em pacotes que fluem através de um roteador Cisco ou um switch multicamadas.
· Usa inteligência artificial para detectar incidentes e ajudar na análise e resposta de incidentes.
· Apresenta os dados de eventos correlacionados e agregados em monitoramento em tempo real e resumos de longo prazo.
· Ele fornece uma trilha completa de auditoria de informações básicas sobre cada fluxo ip encaminhado em um dispositivo.
· Ele fornece ferramentas de gerenciamento de casos que permitem que o pessoal de cibersegurança pesquise e investigue incidentes.
Explicação: As plataformas de segurança SOAR oferecem essas funcionalidades:
• Reúna dados de alarme de cada componente do sistema
• Forneça ferramentas que permitam que os casos sejam pesquisados, avaliados e investigados
• Enfatize a integração como um meio de automatizar fluxos de trabalho complexos de resposta a incidentes que permitem uma resposta mais rápida e estratégias
de defesa adaptativas• Inclua cartilhas de jogos predefinidas que permitem resposta automática a ameaças específicas
26. Quais dispositivos devem ser protegidos para mitigar contra ataques de falsificação de endereço MAC?
· Dispositivos de camada 7
· Dispositivos de camada 4
· Dispositivos de camada 3
· Dispositivos de camada 2
Explicação: Ataques de camada 2, como falsificação de endereço MAC, podem ser mitigados protegendo dispositivos da Camada 2.
27. Um administrador de rede está verificando os registros do sistema e nota testes de conectividade incomuns em várias portas bem conhecidas em um servidor. Que tipo de ataque em potencial poderia indicar?
· acesso
· negação de serviço
· roubo de informações
· reconhecimento
Explicação: Um ataque de reconhecimento é a descoberta e mapeamento não autorizados de sistemas, serviços ou vulnerabilidades. Um dos ataques de reconhecimento mais comuns é realizado usando utilitários que descobrem automaticamente hosts nas redes e determinam quais portas estão atualmente ouvindo conexões.
28. Qual é a vulnerabilidade que permite que criminosos injetem scripts em páginas da Web visualizadas pelos usuários?
· Scripting entre sites
· Injeção XML
· estouro tampão
· Injeção SQL
Explicação: O scripting cross-site (XSS) permite que criminosos injetem scripts que contenham códigos maliciosos em aplicativos da Web.
29. Que ataque cibernético envolve um ataque coordenado de uma botnet de computadores zumbis?
· Redirecionamento do ICMP
· MITM
· DDoS
· paródia endereço
Explicação: DDoS é um ataque distribuído de negação de serviços. Um ataque DDoS é lançado a partir de múltiplas fontes coordenadas. As fontes do ataque são os anfitriões zumbis que o cibercriminoso construiu em uma botnet. Quando pronto, o cibercriminoso instrui a botnet de zumbis a atacar o alvo escolhido.
30. Qual técnica é um ataque de segurança que esgota o pool de endereços IP disponíveis para hosts legítimos?
· ataque de reconhecimento
· Fome de DHCP
· Spoofing DHCP
· Espionagem DHCP
Explicação: Os ataques de fome do DHCP criam uma negação de serviço para os clientes da rede. O invasor envia mensagens de descobertado DHCP que contêm endereços MAC falsos na tentativa de alugar todos os endereços IP. Em contraste, a falsificação de DHCP ocorre quando um cibercriminoso configura um servidor DHCP desonesto para fornecer aos clientes de rede informações incorretas de configuração de IP.
31 Que tipo de falha de segurança do cavalo de Tróia usa o computador da vítima como dispositivo de origem para lançar outros ataques?
· procuração
· FTP
· Dos
· envio de dados
Explicação: O atacante usa um ataque de cavalo de Tróia proxy para penetrar em um dispositivo e, em seguida, usar esse dispositivo para lançar ataques em outros dispositivos. O cavalo dos Dos Trojan diminui ou interrompe o tráfego da rede. O cavalo de tróia FTP permite serviços de transferência de arquivos não autorizados quando a porta 21 foi comprometida. Um cavalo de Tróia que envia dados transmite dados de volta para o hacker que podem incluir senhas.
32. Quais são os dois exemplos de ataques do DoS? (Escolha dois.)
· estouro tampão
· Injeção SQL
· varredura de portas
· phishing
· ping da morte
Explicação: O estouro do buffer e o ping de morte Os ataques do DoS exploram falhas relacionadas à memória do sistema em um servidor, enviando uma quantidade inesperada de dados ou dados malformados para o servidor.
33. Por que um rootkit seria usado por um hacker?
· para tentar adivinhar uma senha
· para reverter arquivos binários de engenharia
· para ter acesso a um dispositivo sem ser detectado
· para fazer reconhecimento
Explicação: Os hackers usam rootkits para evitar a detecção, bem como ocultar qualquer software instalado pelo hacker.
34. O que causa um estouro de buffer?
· enviando muitas informações para duas ou mais interfaces do mesmo dispositivo, causando assim pacotes descartados
· tentando escrever mais dados para um local de memória do que esse local pode conter
· enviando conexões repetidas, como a Telnet, para um determinado dispositivo, negando assim outras fontes de dados
· baixando e instalando muitas atualizações de software ao mesmo tempo
· lançando uma contramedida de segurança para mitigar um cavalo de Tróia
Explicação: Ao enviar muitos dados para uma área específica de memória, os locais de memória adjacentes são substituídos, o que causa um problema de segurança porque o programa no local de memória sobreescrita é afetado.
35. Que tipo de ameaça de segurança seria responsável se um complemento de planilha desativasse o firewall de software local?
· Dos
· Cavalo de Tróia
· estouro tampão
· ataque de força bruta
Explicação: Um cavalo de Tróia é um software que faz algo prejudicial, mas está escondido em código de software legítimo. Um ataque de negação de serviço (DoS) resulta na interrupção dos serviços de rede para usuários, dispositivos de rede ou aplicativos. Um ataque de força bruta geralmente envolve tentar acessar um dispositivo de rede. Um estouro de buffer ocorre quando um programa tenta armazenar mais dados em um local de memória do que ele pode conter.
36. Quais dois tipos de hackers são tipicamente classificados como hackers de chapéu cinza? (Escolha dois.)
· hacktivistas
· criminosos cibernéticos
· corretores de vulnerabilidade
· crianças script
· hackers patrocinados pelo estado
Explicação: Hackers de chapéu cinza podem fazer coisas antiéticas ou ilegais, mas não para ganho pessoal ou para causar danos. Hacktivistas usam seu hacking como uma forma de protesto político ou social, e corretores de vulnerabilidades hack invadem para descobrir fraquezas e denunciá-las aos fornecedores. Dependendo da perspectiva que se possui, os hackers patrocinados pelo Estado são operadores de chapéu branco ou chapéu preto. Crianças de script criam scripts de hackers para causar danos ou interrupções. Criminosos cibernéticos usam hackers para obter ganhos financeiros por meios ilegais.
37. Um hacker de chapéu branco está usando uma ferramenta de segurança chamada Skipfish para descobrir as vulnerabilidades de um sistema de computador. Que tipo de ferramenta é essa?
· depurador
· fuzzer
· scanner de vulnerabilidade
· sniffer pacote
Explicação: Fuzzers são ferramentas usadas por atores de ameaças ao tentar descobrir as vulnerabilidades de um sistema de computador. Exemplos de fuzzers incluem Skipfish, Wapiti e W3af.
38. Quais duas funções são fornecidas pelo NetFlow? (Escolha dois.)
· Usa inteligência artificial para detectar incidentes e ajudar na análise e resposta de incidentes.
· Ele fornece uma trilha completa de auditoria de informações básicas sobre cada fluxo ip encaminhado em um dispositivo.
· Ele fornece estatísticas de 24×7 em pacotes que fluem através de um roteador Cisco ou um switch multicamadas.
· Ele permite que um administrador capture o tráfego de rede em tempo real e analise todo o conteúdo dos pacotes.
· Apresenta dados de eventos correlacionados e agregados em monitoramento em tempo real e resumos de longo prazo.
Explicação: O NetFlow é uma tecnologia Cisco IOS que fornece estatísticas e trilhas completas de auditoria em fluxos TCP/IP na rede. Alguns dos recursos do NetFlow incluem: monitoramento de rede e segurança de 24×7, planejamento de rede, análise de tráfego, identificação de gargalos de rede e contabilidade ip para fins de faturamento.
39. Qual instrução descreve a função da ferramenta SPAN usada em um switch Cisco?
· É um canal seguro para um switch enviar login para um servidor de syslog.
· Ele fornece interconexão entre VLANs sobre vários switches.
· Ele suporta a operação de armadilha SNMP em um interruptor.
· Ele copia o tráfego de uma porta de switch e envia-o para outra porta de switch que está conectada a um dispositivo de monitoramento.
Explicação: Para analisar o tráfego de rede que passa por um switch, o analisador de porta comutado (SPAN) pode ser usado. O SPAN pode enviar uma cópia do tráfego de uma porta para outra porta no mesmo switch onde um analisador de rede ou dispositivo de monitoramento está conectado. O SPAN não é necessário para syslog ou SNMP. O SPAN é usado para espelhar o tráfego, enquanto o syslog e o SNMP são configurados para enviar dados diretamente ao servidor apropriado.
40. Quais são os dois métodos de evasão usados pelos hackers? (Escolha dois.)
· escaneamento
· ataque de acesso
· exaustão de recursos
· phishing
· encriptação
Explicação: Os seguintes métodos são usados pelos hackers para evitar a detecção:Criptografia e tunelamento – ocultar ou embaralhar o conteúdo
do malwareRecurso de recursos – manter o dispositivo host muito ocupado para detectar a fragmentação da invasãoTraffic
– dividir o malware em vários pacotesProtocol-level
misinterpretação – sneak by the firewallPivot
– use um dispositivo de rede comprometido para tentar acesso a outro dispositivo
Rootkit – permitir que o hacker evite a detecção, bem como esconda o software instalado pelo hacker
41. Que ataque envolve atores de ameaça se posicionando entre uma fonte e destino com a intenção de monitorar, capturar e controlar a comunicação de forma transparente?
· ataque homem-no-meio
· Ataque do DoS
· Ataque do ICMP
· Ataque de inundação syn
Explicação: O ataque homem-no-meio é um ataque comum relacionado ao IP, onde os atores de ameaças se posicionam entre uma fonte e destino para monitorar, capturar e controlar a comunicação de forma transparente.
42. Qual é o objetivo de um hacker de chapéu branco?
· validando dados
· modificando dados
· roubar dados
· proteger dados
Explicação: Os hackers de chapéu branco são na verdade "mocinhos" e são pagos por empresas e governos para testar vulnerabilidades de segurança para que os dados sejam melhor protegidos.
43. Uma vez verificada uma ameaça cibernética, a Agência de Segurança e Segurança de Cibersegurança dos EUA (CISA) compartilha automaticamente as informações de segurança cibernética com organizações públicas e privadas. Como se chama esse sistema automatizado?
· AIS
· NCSA
· ENISA
· NCASM
Explicação: Os governos estão agora ativamente promovendo a segurança cibernética. Por exemplo, a Agência de Infraestrutura e Segurança de Cibersegurança dos EUA (CISA) está liderandoesforços para automatizar o compartilhamento de informações de segurança cibernética com organizações públicas e privadas sem nenhum custo. O CISA usa um sistema chamado Compartilhamento Automatizado de Indicadores (AIS). A AIS permite o compartilhamento de indicadores de ataque entre o governo dos EUA e o setor privado assim que as ameaças forem verificadas. A CISA oferece muitos recursos que ajudam a limitar o tamanho da superfície de ataque dos Estados Unidos.
44. Um usuário recebe uma ligação de uma pessoa que afirma representar os serviços de TI e, em seguida, pede ao usuário a confirmação do nome de usuário e senha para fins de auditoria. Que ameaça de segurança esse telefonema representa?
· spam
· keylogging anônimo
· DDoS
· engenharia social
Explicação: A engenharia social tenta ganhar a confiança de um funcionário e convencer essa pessoa a divulgar informações confidenciais e confidenciais, como nomes de usuário e senhas. Ataques DDoS, spam e keylogging são todos exemplos de ameaças à segurança baseadas em software, não engenharia social.
45. Quais duas características descrevem um verme? (Escolha dois)
· é auto-replicação
· viaja para novos computadores sem qualquer intervenção ou conhecimento do usuário
· infecta computadores anexando-se ao código de software
· esconde-se em um estado adormecido até que necessário por um atacante
· executa quando o software é executado em um computador
Explicação: Worms são peças autorreplicadas de software que consomem largura de banda em uma rede à medida que se propagam de sistema para sistema. Eles não precisam de um aplicativo de host, ao contrário de um vírus. Os vírus, por outro lado, carregam código malicioso executável que prejudica a máquina alvo em que residem.
46. Um invasor está redirecionando o tráfego para um gateway padrão falso na tentativa de interceptar o tráfego de dados de uma rede comutada. Que tipo de ataque poderia conseguir isso?
· Endereço MAC snoopin
· Espionagem DHCP
· Mac aborda a fome
· Spoofing DHCP
Explicação: Em ataques de falsificação de DHCP, um invasor configura um servidor DHCP falso na rede para emitir endereços DHCP aos clientes com o objetivo de forçar os clientes a usar um gateway padrão falso e outros serviços falsos. A espionagem DHCP é um recurso de switch Cisco que pode mitigar ataques DHCP. Mac endereço fome de endereço e mac endereço bisbilhotando não são ataques de segurança reconhecidos. A falsificação de endereços MAC é uma ameaça à segurança da rede.
47. Qual seria o alvo de um ataque de injeção SQL?
· DHCP
· DNS
· email
· base de dados
Explicação: SQL é o idioma usado para consultar um banco de dados relacional. Os cibercriminosos usam injeções SQL para obter informações, criar consultas falsas ou maliciosas ou violar o banco de dados de alguma outra forma.
48. O departamento de TI está relatando que um servidor web da empresa está recebendo um número anormalmente alto de solicitações de páginas da Web de diferentes locais simultaneamente. Que tipo de ataque de segurança está ocorrendo?
· engenharia social
· adware
· DDoS
· phishing
· spyware
Explicação: Phishing, spyware e engenharia social são ataques de segurança que coletam informações de rede e usuários. O adware consiste, normalmente, de janelas pop-up irritantes. Ao contrário de um ataque DDoS, nenhum desses ataques gera grandes quantidades de tráfego de dados que podem restringir o acesso a serviços de rede.
49. Por que um invasor iria querer falsificar um endereço MAC?
· para que o invasor possa capturar tráfego de várias VLANs em vez de apenas da VLAN que é atribuída à porta à qual o dispositivo de ataque está conectado
· de modo que um interruptor na LAN começará a encaminhar quadros para o invasor em vez de para o host legítimo
· de modo que um interruptor na LAN comece a encaminhar todos os quadros em direção ao dispositivo que está sob controle do invasor (que pode então capturar o tráfego lan)
· para que o atacante possa lançar outro tipo de ataque, a fim de obter acesso ao switch
Explicação: A falsificação de endereços MAC é usada para contornar medidas de segurança, permitindo que um invasor se passe por um dispositivo host legítimo, geralmente com o propósito de coletar tráfego de rede.
50. Combine o conceito de segurança com a descrição.
51. Quais duas características descrevem um vírus? (Escolha dois.)
· Código malicioso que pode permanecer adormecido antes de executar uma ação indesejada.
· Malware que executa código arbitrário e instala cópias de si mesmo na memória.
· Malware que depende da ação de um usuário ou de um programa para ativar.
· Código de programa especificamente projetado para corromper a memória em dispositivos de rede.
· Um ataque auto-replicante que é lançado independentemente.
Explicação: Um vírus é um código malicioso que é anexado a programas legítimos ou arquivos executáveis. A maioria dos vírus requer ativação do usuário final, pode ficar adormecida por um período prolongado e, em seguida, ativar em um horário ou data específica. Em contraste, um worm executa código arbitrário e instala cópias de si mesmo na memória do computador infectado. O principal objetivo de um worm é a replicação automática para se espalhar rapidamente através de uma rede. Um worm não requer um programa de hospedagem para ser executado.
52. Que tipo de ataque de segurança tentaria um estouro de buffer?
· ransomware
· reconhecimento
· Dos
· scareware
Explicação: Os ataques de negação de serviço (DoS) tentam interromper o serviço na rede, enviando a um determinado dispositivo uma quantidade esmagadora de dados para que nenhum outro dispositivo possa acessar o dispositivo atacado ou enviando pacotes malformados.