SEGURANÇA DE HOSTS

Prévia do material em texto

1.
		Qual é o propósito de um rootkit?
	
	
	
	obter acesso privilegiado a um dispositivo enquanto se esconde
	
	
	entregar anúncios sem o consentimento do usuário
	
	
	se disfarçar como um programa legítimo
	
	
	se replicar independentemente de quaisquer outros programas
	
	
	ganhar a confiança de um funcionário corporativo em um esforço para obter suas credenciais
	
	
	
	 
		
	
		2.
		A atualização (update) de um sistema operacional, instalando as chamadas correções ou patches, pode evitar que determinados malwares explorem vulnerabilidades conhecidas. 
As medidas de controle  adotadas por um usuário, que possam estar relacionadas ao antes, durante ou depois da ocorrência do ato de atualizar o sistema operacional são:
I - Prevenção
II - Limitação
III - Contestação
IV - Reação
V - Segmentação
Pode-se dizer que estão corretas:
	
	
	
	somente III, IV e V
	
	
	somente I, II e III
	
	
	somente II e III
	
	
	somente I, II e V
	
	
	somente I, II e IV
	
	
	
	 
		
	
		3.
		Ano: 2019 Banca: FCC Órgão: RIOPRETOPREV Prova: FCC - 2019 - RIOPRETOPREV - Analista Previdenciário - Assistente Social
O computador de um usuário foi infectado por um ransomware, um tipo de malware que
	
	
	
	assegura o acesso futuro do atacante ao computador comprometido, permitindo que ele seja acessado remotamente por meio do protocolo Telnet.
	
	
	torna o computador um zumbi, sendo controlado remotamente e desferindo automaticamente ataques de negação de serviço a redes e servidores determinados pelo atacante.
	
	
	torna inacessíveis os dados armazenados no computador, geralmente usando criptografia, e exige pagamento de resgate (via bitcoins) para restabelecer o acesso ao usuário.
	
	
	monitora e captura informações referentes à navegação ou digitação do usuário, e envia estas informações ao atacante.
	
	
	após identificar potenciais computadores alvos, efetua cópias de si mesmo e tenta enviá-las para estes computadores, por e-mail, chat etc.
		1.
		Com o Mimikatz, você pode extrair senhas da memória do processo lsass.exe. Nenhuma ferramenta é necessária para criar um arquivo com as informações da memória. Você somente precisa do privilégio de administrador para realizar debugs. Esse processo de extração de informações da memória é chamado:
	
	
	
	Dump
	
	
	Process
	
	
	Debug
	
	
	Lsass
	
	
	Exploit
	
Explicação:
O dump significa despejar para um arquivo o estado da memória em um determinado instante. Esse arquivo pode ser utilizado para realizar vários tipos de análises.
	
	
	
	 
		
	
		2.
		Durante a análise de um malware é importante tomarmos certos cuidados, principalmente se tratando de análise dinâmica, qual das alternativas apresenta uma medida fundamental para se tomar, durante o processo de análise?
	
	
	
	Fazer a análise em um Sistema Operacional dentro de uma máquina virtual
	
	
	Fazer a análise deixando o código do malware em um pendrive e este conectado ao computador
	
	
	Instalar um software anti-malware
	
	
	Instalar um software anti-vírus
	
	
	Instalar um Firewall
	
Explicação:
Fazer a análise do malware dentro de uma VM mantém o malware isolado do seu sistema principal, de preferência com conectivade de rede desabilitada.
	
	
	
	 
		
	
		3.
		O processo de obtenção de um hash criptográfico do código, com o objetivo de comparar com outros hashes conhecidos é denominado
	
	
	
	Desmontagem
	
	
	Footprint
	
	
	Análise heurística
	
	
	Sandbox
	
	
	Fingerprint
		1.
		Em 2018 o Laboratório de Propulsão a Jato (JET) da NASA teve seu sistema invadido e dados sigilos roubados ao deixarem um Raspberry Pi não autorizado conectado à sua rede. Há rumores que um funcionário utilizava a Raspberry para monitorar um aquário! Qual das alternativas descreve melhor a necessidade de segurança no contexto descrito?
	
	
	
	É importante reforçar a segurança dos start-points, tais como os dispositivos IoT.
	
	
	É importante reforçar a segurança das máquinas virtuais, principalmente nas grandes instituições de pesquisa e inovação
	
	
	Sistemas IoT precisam ser autorizados antes de serem conectados em uma rede, se estivesse autorizado não haveria tal incidente de segurança.
	
	
	End-points necessitam estar protegidos contra ataques de negação de serviço.
	
	
	É importante reforçar a segurança dos end-points, tais como os dispositivos IoT.
	
Explicação:
Hoje em dia, qualquer dispositivo com tecnologia computacional embarcada e acesso à rede pode ser chamado de terminal (end-point), como dispositivos IoT em geral, smart TVs, câmeras IP, sensores, atuadores etc. Estes sistemas precisam de cuidados com segurança com qualquer outro end-point.
	
	
	
	 
		
	
		2.
		Um usuário fez um download de um arquivo chamado Suspeito.exe. Por sorte, ele tem a sua disposição uma aplicação de segurança que analisou o arquivo e marcou como suspeito. Quando o usuário inicia o aplicativo, ele é colocado no modo de prisão (jail), ou seja, pode mostrar sua interface do usuário, desde que não tente ler ou modificar nenhum recurso protegido do sistema operacional. Essa aplicação de segurança aplicou um(a):
	
	
	
	Transação de dados
	
	
	Recursividade
	
	
	Acesso direto à memória
	
	
	Isolamento de aplicativo
	
	
	Engenharia reversa
	
Explicação:
O isolamento de aplicativos complementa a detecção de malware, fazendo o bloqueio proativo do comportamento malicioso usando um modelo de confiança zero para aplicativos conhecidos e possivelmente suspeitos.
	
	
	
	 
		
	
		3.
		Uma ferramenta de monitoramento comportamental pode apresentar falsos positivos, como por exemplo listar um arquivo inofensivo como ameaça, ou um falso negativo, como um malware ser classificado como arquivo inofensivo. Um exemplo de medida que pode ser usada em conjunto desse tipo de ferramenta para melhorar a tomada de decisão automatizada é:
	
	
	
	Engenharia social
	
	
	Inteligência artificial
	
	
	Servidor com boa configuração
	
	
	Antivírus
	
	
	Treinamento do operador humano
	
Explicação:
A prevenção de ataques pode mesclar os métodos mais recentes com as tecnologias tradicionais.
		1.
		Considere um Sistema de Detecção de Intrusão (IDS). Qual alternativa melhor descreve seu escopo de aplicação.
	
	
	
	Na segurança de redes e na segurança de end-points
	
	
	Na segurança de end-points e na segurança de roteadores.
	
	
	Somente na segurança de end-points
	
	
	Somente na segurança de redes
	
	
	Somente na segurança de roteadores
	
Explicação:
Sistema de Detecção de Intrusão (IDS) podem ser aplicados em redes (NIDS) e em end-points (HIDS).
	
	
	
	 
		
	
		2.
		Um sistema operacional que adote um paradigma de sistema como serviço pode estimular a adoção das características a seguir, exceto:
	
	
	
	Verificações constantes
	
	
	Atualizações categorizadas
	
	
	Atualizações abrangentes
	
	
	Atualizações periódicas
	
	
	Desligamento dos updates
	
	
	
	 
		
	
		3.
		O arranjo lógico no qual os end-points enviam ou exportam eventos de ameaças para centralização em um SIEM é chamada de:
	
	
	
	Ticket
	
	
	Bus
	
	
	Hub-and-spoke
	
	
	SOAR
	
	
	Token
		1.
		Os antivírus mais antigos geralmente procuravam por certos padrões ou sequências de bytes. Uma vez detectado, um vírus pode ser analisado com precisão em uma sequência única de bytes extraídos do código do vírus. Esses padrões são chamados de:
	
	
	
	Verificador
	
	
	Stream
	
	
	Apontador
	
	
	Assinatura
	
	
	Fluxo
	
	
	
	 
		
	
		2.
		Marque a alternativa correta quanto ao software antivírus:
	
	
	
	É suficiente para barrar todos os incidentes de malware.
	
	
	Os antivírus atuais estão imunes à ocorrência de falsos positivos e de falsos negativos.
	
	
	Possui ótima eficiência para detectar malware personalizado, que adquire características específicas no host.
	
	
	Arquivos enviados a sites públicospodem ser compartilhados com outros fornecedores e terceiros.
	
	
	É capaz de impedir infecções por ameaças desconhecidas
	
	
	
	 
		
	
		3.
		O que é um software Multi-AV?
	
	
	
	É um software que faz outras funções de segurança, além de antivírus, incluindo firewall e IDS no mesmo pacote.
	
	
	É um software que agrega vários produtos antivírus diferentes
	
	
	É um antivírus que contém um banco de dados especializado em vírus polimórficos
	
	
	É um software antivírus indicado para sistemas multiprocessados.
	
	
	É um anti-vírus especializado em detectar múltiplas variantes de um mesmo vírus
	
Explicação:
O uso de softwares multi-AV permite o envio de arquivos para verificá-los rapidamente através de vários produtos antivírus diferentes.
		1.
		Qual é o nome específico do indicador, integrante de um dos métodos de detecção em um EDR, que se concentra na análise forense de um comprometimento que já ocorreu, como por exemplo tráfego de rede de saída incomum, anomalia com contas de usuário privilegiada, aumento substancial no volume de leitura do banco de dados?
	
	
	
	Indicador de análise
	
	
	Indicador de ataque
	
	
	Indicador de segurança
	
	
	Indicador de compromisso
	
	
	Indicador de conformidade
	
	
	
	 
		
	
		2.
		Qual é o termo associado ao processo de continuamente descobrir, monitorar, avaliar e priorizar os terminais, usando dados de ameaças, vulnerabilidades e inteligência tais como notícias e alertas de analistas?
	
	
	
	Superfície de ataque.
	
	
	Superfície rasa.
	
	
	Ataque de dados.
	
	
	Sistema redundante.
	
	
	Terminais analistas.
	
	
	
	 
		
	
		3.
		Um sistema EDR executa as seguintes ações em um end-point:
"reunião das informações necessárias no máximo de detalhes definidos pela organização. Exemplos: versões de firmware, os sistemas operacionais e softwares em execução, a situação dos softwares (se estão corrigidos e atualizados), quais são as vulnerabilidades conhecidas pontuadas por sua gravidade;"
Qual das alternativas expressa esta ação?
	
	
	
	Monitoramento (Monitor)
	
	
	Proteção (Protect)
	
	
	Descoberta (Discover)
	
	
	Registro (Log)
	
	
	Inventário (Inventory)
	
Explicação:
Inventário (inventory): reunião das informações necessárias no máximo de detalhes definidos pela organização. Exemplos: versões de firmware, os sistemas operacionais e softwares em execução, a situação dos softwares (se estão corrigidos e atualizados), quais são as vulnerabilidades conhecidas pontuadas por sua gravidade;
		1.
		Um profissional de segurança pode realizar vários procedimentos para procurar arquivos maliciosos em um sistema. Qual das alternativas não representa um procedimento dessa natureza?
	
	
	
	Verificação e remoção de arquivos duplicados no sistema
	
	
	Verificação de Tempo de Compilação de arquivos PE
	
	
	Verificação de geração de atividade suspeita na Internet
	
	
	Análise de Registro (registry)
	
	
	Verificação do registro mestre de inicialização (MBR) em busca de um infestador
	
Explicação:
A verificação e remoção de arquivos duplicados no sistema não condiz com uma atividade válida em busca de malware, as demais alternativas são procedimentos válidos para se encontrar malwares.
	
	
	
	 
		
	
		2.
		Um malware pode criar valores do registro do Windows para manter as informações de configuração, como servidores para contato, valores para chaves de criptografia ou bits de código para executar. As evidências da presença e da execução de malware pode ser feita através dos seus:
	
	
	
	Mecanismos de propagação
	
	
	Rastros
	
	
	Mecanismos voláteis
	
	
	Vetores iniciais de infecção
	
	
	Mecanismos de persistência
	
	
	
	 
		
	
		3.
		Na tarefa de detecção de um malware, uma boa abordagem de detecção de forma eficaz e em tempo hábil é:
	
	
	
	Encontrar todas as coisas ruins.
	
	
	Reduzir os dados analisados.
	
	
	Esperar uma evidência visualmente perceptível do malware.
	
	
	Montar um kit com todas as ferramentas disponíveis e redundantes.
	
	
	Realizar análise completa em todos os arquivos do sistema.
		1.
		O arquivo do ClamAV que possui a base principal de assinaturas é denominado:
	
	
	
	main.fp
	
	
	main.hdb
	
	
	main.cvd
	
	
	main.ndb
	
	
	main.info
	
	
	
	 
		
	
		2.
		A denominação do arquivo de testes desenvolvido pelo Instituto Europeu de Pesquisa de Antivírus de Computador, que pode ser utilizado para testes de detecção de vírus conhecidos, sem oferecer risco de infecção para o computador, é o:
	
	
	
	PCAP
	
	
	LIBPCAP
	
	
	EICAR
	
	
	EPCAR
	
	
	ETCAP
	
	
	
	 
		
	
		3.
		O serviço do ClamAV que baixa e armazena as bases de assinaturas de vírus (CVD ¿ ClamAV Virus Database)
no diretório /var/lib/clamav/ é o:
	
	
	
	sigtool
	
	
	clamav
	
	
	clamscan
	
	
	freshclam
	
	
	devel
		1.
		A análise forense digital realizada ao vivo com o equipamento ligado, após um flagrante, também é denominada:
	
	
	
	Post mortem forensics
	
	
	Analysis forensics
	
	
	Live forensics
	
	
	Digital forensics
	
	
	Equipment forensics
	
	
	
	 
		
	
		2.
		A categoria de CSIRT que provê serviço para um país é:
	
	
	
	Grupos de empresas fornecedoras de hardware e software
	
	
	Centros de Análise
	
	
	CSIRT nacionais
	
	
	Centros de Coordenação
	
	
	CSIRT internos
	
	
	
	 
		
	
		3.
		Qual é a fase da estrutura de investigação digital do DFRW que protege das evidências, após a identificação, de qualquer tipo de modificação ou exclusão, com a finalidade de impedir o acesso de um sistema suspeito por qualquer usuário?
	
	
	
	Exame
	
	
	Coleta
	
	
	Análise
	
	
	Preservação
	
	
	Identificação
	
	
	 
		
	
		1.
		Quando o usuário clica no botão Timeline do Autopsy, terá acesso, especificamente, a qual tipo de funcionalidade?
	
	
	
	Visualizador hexadecimal
	
	
	Artefatos da web
	
	
	Análise da linha do tempo
	
	
	Gravação de e-mail
	
	
	Visualizador de imagens
	
	
	
	 
		
	
		2.
		Alguns tipos incidentes podem trazer a necessidade de examinar um sistema em busca de evidências de atividade maliciosa conduzida por um usuário. Dentre as opções a seguir, o exemplo de situação que melhor pode ser enquadrada como um incidente de segurança é:
	
	
	
	O tráfego na rede corporativa esteve com um volume de dados anormal no período na manhã.
	
	
	Um funcionário desavisado navegou para um site comprometido e baixou um software malicioso.
	
	
	Um aluno espetou o pen-drive na porta USB do computador da universidade.
	
	
	Um usuário realizou o acesso ao armazenamento baseado em nuvem e carregou documentos confidenciais.
	
	
	Um analista de TI efetuou o acesso remoto ao end-point de um dos funcionários da empresa.
	
	
	
	 
		
	
		3.
		Um software forense destinado à análise do tráfego de pacotes de rede, que extrai os dados brutos e reconstrói as páginas e conteúdo da web, é o:
	
	
	
	X-Ways
	
	
	FTK
	
	
	Redline
	
	
	Rekall
	
	
	Xplico