Simulado Inteligencia de ameças ciberneticas

Prévia do material em texto

1a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por:
		
	
	Distribuir o produto gerado
	
	Realizar a coleta de informações
	
	Transformar as informações em inteligência
	
	Entender quais são os objetivos as serem cumpridos e qual a expectativa da área 'cliente'
	
	Todas as anteriores
	Respondido em 01/05/2021 12:46:30
	
	Explicação: 
Na fase de planejamento e requerimentos a área de CTI realiza a identificação dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da organização que irá receber o relatório criado pela área de CTI. Nesta fase devemos entender o que o "cliente" espera receber da área de CTI.
	
		2a
          Questão 
	Acerto: 1,0  / 1,0 
	
	O hash  SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e pode ser considerado:
		
	
	Indicador de compromisso nominal
	
	Indicador de compromisso regional
	
	Indicador de compromisso asssimetrico
	
	Indicador de compromisso por comportamento
	
	Indicador de compromisso global
	Respondido em 01/05/2021 12:47:30
	
	Explicação: 
O hash , seja ele MD5, SHA-1, SHA-256 ou outros, é considerado um Indicadore de Compromisso Nominal.
	
		3a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Que informações são geralmente geradas em um sistema Sandbox?
		
	
	Informações sobre arquivos criados no sistema pelo executavel analisado
	
	Todas as alternativas estão corretas.
	
	Informações sobre chaves de registro (Register Keys) criadas, excluidas ou modificadas pelo executavel.
	
	Informações sobre dominios que o executavel tentou resolver via DNS.
	
	Informações sobre endereços IP que o executavel tentou se conectar
	Respondido em 01/05/2021 12:48:25
	
	Explicação: 
Um sistema sandbox é capaz de capturar uma serie de informações sobre as ações realizadas por um arquivo executavel, como eventos de rede (como endereços IPs e dominios) e de host como arquivos criados, excluidos, e de chaves de registro.
	
		4a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Sobre um post no Pastebin, podemos afirmar que:
		
	
	Deve ser postado usando liguagem HTML
	
	Pode ser postado de forma anonima
	
	Não pode ser postado codigo fonte java por não ser script.
	
	Ele ficará disponivel indefinidamente
	
	Necessita de um login para postagem
	Respondido em 01/05/2021 12:49:07
	
	Explicação: 
Uma das vantagens do Pastebin é que os posts podem ser postados de forma anonima, sem necessidade de login. Alem disso pode ser especifciado um tempo para que o post fique online, variando de poucos minutos até tempo indefinido.
	
		5a
          Questão 
	Acerto: 1,0  / 1,0 
	
	A ferramenta Maltego é amplamente utilizada para OSINT. Qual a sua função?
		
	
	É uma ferrramenta para realizar o registro de novos dominios na internet
	
	É uma ferramenta para realizar a captura de trafego da internet
	
	É uma ferramenta para criação de repositórios no Github
	
	É uma ferramenta de "link analysis" que permite a busca e analise de informações disponiveis na internet
	
	É uma ferramenta para criação de posts no Pastebin
	Respondido em 01/05/2021 12:49:35
	
	Explicação: 
Maltego é uma ferramenta de ¿link analysis¿ criada pela empresa Paterva que permite, através de plug-ins chamados de transforms, a busca e análise de informações disponíveis na internet.
	
		6a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Ao realizar uma busca por um IOC no VirusTotal, o analista recebeu o seguinte resultado:
./virusgotal url www.olx.com.br
www.olx.com.br scan results:
VirusTotal link:
https://www.virustotal.com/url/2cc58e3243541f95e312c9
e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 0/71
Esse resultado nos mostra que:
		
	
	A e B.
	
	O site OLX foi detectado como malicioso por 71 programas de antivírus.
	
	O site OLX não foi detectado como malicioso por nenhum programa de antivírus.
	
	O site OLX está infectado com 71 vírus.
	
	Nenhuma das alternativas.
	Respondido em 01/05/2021 12:51:39
	
	Explicação: 
O output da ferramenta mostra 0/71, ou seja, 0 (nenhum) antivírus dentre os 71 antivírus disponíveis no VirusTotal detectou o site como malicioso.
	
		7a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Como funções de um TIP podemos citar:
		
	
	Análise.
	
	Coleta.
	
	Todas as alternativas.
	
	Compartilhamento.
	
	Disseminação.
	Respondido em 01/05/2021 12:52:31
	
	Explicação: 
Uma plataforma de Threat Intelligence deve possibilitar ao analista de inteligência percorrer as diferentes fases do ciclo de vida do CTI. Deve possibilitar que ele a utilize para coleta de informações e IOCs, que ele faça uma análise dos eventos e dos IOC, correlacionando-os com outros eventos. Deve, ainda, possibilitar que ele possa exportar os resultados para serem disseminados internamente e que, caso necessário, compartilhe as informações com outros grupos ou publicamente. Todas as alternativas estão corretas e fazem parte das funções de um TIP.
	
		8a
          Questão 
	Acerto: 1,0  / 1,0 
	
	O que é o Curso de Ações para Cyber Kill Chain?
		
	
	É um playbook de como se responder a um incidente de segurança.
	
	 É uma série de ações para garantir a monitoração do ambiente.
	
	É a lista de ações a serem tomadas em caso de um ataque.
	
	 Nenhuma das alternativas.
	
	É o mapeamento de possíveis ferramentas para serem usadas em cada fase de um ataque, com diferentes objetivos.
	Respondido em 01/05/2021 12:53:58
	
	Explicação: 
O Curso de Ações foi criado com o objetivo de ser uma matriz de ferramentas para ser mapeada com cada fase do Cyber Kill Chain, com cada ferramenta devendo influenciar no ataque de maneiras distintas, seja para detectar o ataque, seja para pará-lo ou bloqueá-lo.
	
		9a
          Questão 
	Acerto: 1,0  / 1,0 
	
	Qual das taticas abaixo NÃO faz parte da matriz ATT&CK Enterprise?
		
	
	Privilege Escalation (Escalação de Privilégios)
	
	Credential Access (Acesso a credenciais)
	
	Initial Access (Acesso Inicial)
	
	Exfiltration (Envio de dados para fora)
	
	Target Selection (Definição do Alvo)
	Respondido em 01/05/2021 12:56:22
	
	Explicação: 
Target Selection (Definição do Alvo) NÃO faz parte do ATT&CK Enterprise, e sim do Pre-ATT&CK.
	
		10a
          Questão 
	Acerto: 1,0  / 1,0 
	
	WannaCry, o ransomware que fez o mundo chorar na sexta-feira [12 de maio de 2017].
O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme, paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos outros, afetando principalmente a Europa no começo do dia.
Disponível em Acesso em jan. 2018.
Considerando ataques de segurança do tipo Ransomware, analise as asserções a seguir.
I. Ransomware é um tipo de código malicioso que sequestra os dados do usuário armazenados em um equipamento conectado à Internet, removendo seus dados para a nuvem sob domínio do sequestrador, e então é exigido pagamento de resgate (ransom) para devolver os dados para o equipamento do usuário e restabelecer o seu acesso.
II. A infecção pelo Ransomware pode ocorrer e se propagar de diferentes maneiras, podendo ocorrer por meio de anexo de e-mails ou hiperlinks que direcionam o usuário para o código malicioso.
III. O Ransomware/Locker facilita o acesso do usuário aos arquivos infectados e o Ransomware/Crypto descompacta os arquivos e bloqueia o acesso aos dados armazenados no computador infectado.
IV. O usuário deve manter o sistema operacional e os programas instalados atualizados no seu computador, para evitar infecção pelo Ransomware, ter um antivírus instalado, atualizado, e ser cauteloso ao clicar em links ou abrir arquivos.
Sobre a infecção por Ransomware assinale a alternativa que apresenta as afirmações corretas.
		
	
	I e II.
	
	I e III.
	
	II e IV.II e III.
	
	III e IV.
	Respondido em 01/05/2021 12:55:50
	
	Explicação: 
A variedade locker-ransomware costuma ser menos complexa, mas essa característica não indica que ela é, necessariamente, mais fácil de mitigar. Nela, em vez de um conjunto de dados importantes ser criptografado, o acesso do usuário ao dispositivo ou sistema é bloqueado.
Grosso modo, é como se o locker-ransomware passasse um cadeado em uma porta ou trocasse a fechadura dela. A vítima é então submetida a algum tipo de extorsão para ter seu acesso restabelecido.
O bloqueio pode ser feito de diversas maneiras. As mais comuns envolvem mudanças de senha (por meio da exploração de uma vulnerabilidade de software, por exemplo) ou a exibição de uma tela que impede o acesso aos campos de login.
É possível que um único ransomware execute ações de locker-ransomware e crypto-ransomware ao mesmo tempo.
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados.
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e concordar em fazer pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro).
FONTE: https://www.infowester.com/ransomware.php#locker