INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS AV COMPLETA COM RESPOSTAS - 10 PONTOS

Prévia do material em texto

Disciplina: INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS AV 
Aluno: 
Professor: 
 
Turma: 
 
Avaliação: 
10,0 
Av. Parcial.: 
2,0 
Nota SIA: 
10,0 pts 
 
 
 
 
 
 
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS 
 
 
 1. Ref.: 3551911 Pontos: 1,00 / 1,00 
 
Quais são as cinco fases do ciclo de vida do CTI? 
 
 Busca de Dados, Coleta e Processamento de Informações, 
Análise, Produção 
 Planejamento e Requerimentos, Coleta e Processamento de 
Informações, Análise, Produção e Disseminação 
 Coleta de Informações, Análise, Produção e Disseminação, 
Revisão 
 Planejamento e Requerimentos, Coleta de Logs, Análise, 
Resposta a Incidentes 
 Busca, Planejamento e Requerimentos, Gravação, Análise, 
e Disseminação 
 
 
 2. Ref.: 3557226 Pontos: 1,00 / 1,00 
 
Dado o trafego abaixo: 
GET /ckeditor/MathJax.js?config=TeX-AMS_HTML HTTP/1.1 
Host: www.MyWebSite.com.br 
Connection: keep-alive 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 
(KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 
Accept: */* 
Referer: http://www.MyWebSite.com.br/ 
Accept-Encoding: gzip, deflate 
Accept-Language: en-US,en;q=0.9 
 
E verificando que o User-Agent corresponde a um sistema MacOSX, podemos concluir que: 
 
 
Todos os campos deste trafego http podem ser utilizados como IOCs 
 
Nenhuma alternativa está correta 
 
Podemos usar este User-Agent como um bom IOC, pois a maioria dos sistemas sao 
baseados em Windows. 
 O User-Agent não é um bom IOC pois se trata de um User-Agent comum, utilizados 
por sistemas Apple, e poderia gerar muitos alertas falsos, caso criassemos um 
alerta baseado apenas no User-Agent. 
 
O User-Agent nao pode ser usado como IOC porque nao contem o nome do host. 
 
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203551911.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203557226.');
 
 3. Ref.: 3558165 Pontos: 1,00 / 1,00 
 
Como parte do relatório gerado por um sistema sandbox, temos o seguinte trecho: 
1. Installation/Persistance 
a. Modifies auto-execute functionality by setting/creating a value in the registry 
O que significa isto? 
 
 
 
Indica que o malware fez download de arquivos para o sistema. 
 
Indica que o malware removeu arquivos dentro do sistema 
 Indica que o malware realizou modificações no sistema que permita que ele seja 
executado automaticamente, como modo de persistencia. 
 
Indica que o malware está se conectando a um servidor remoto 
 
Nenhuma das alternativas está correta 
 
 
 4. Ref.: 3555540 Pontos: 1,00 / 1,00 
 
Com relação as assertivas abaixo, julgue-as como V (verdadeiro) ou F (falso) e assinale a 
resposta correta: 
1. A sigla OSINT (do inglês Open Source Intelligence) representa informações que 
podem ser adquiridas livremente na internet. 
2. Nslookup e Whois são exemplo de ferramentas que podem ser usados para OSINT, 
já que fornecem informações que podem ser usadas para realizar um mapeamento 
de uma rede a partir de um dado como um domínio ou um endereço IP. 
3. Pastebin é um exemplo de site no qual informações podem ser postadas 
anonimamente sobre diferentes tópicos, com um tempo de vida variável. 
4. 
 
 
V-V-F 
 
V-F-V 
 V-V-V 
 
F-V-V 
 
F-F-F 
 
 
 5. Ref.: 3555544 Pontos: 1,00 / 1,00 
 
Quais os passos foram realizados na ferramenta Maltego para se chegar ao resultado 
abaixo? 
 
 
Lista de IPs, Portas, Website. 
 Subdomínio, Website, Lista de IP, Portas. 
 
Subdomínio, Lista de IP, Website, Portas. 
 
Nenhuma das anteriores 
 
Portas, lista de Websites. 
 
 
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203558165.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555540.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555544.');
 6. Ref.: 3555565 Pontos: 1,00 / 1,00 
 
Devemos evitar bloquear listas de IPs maliciosos sem ter um contexto maior sobre eles? 
 
 
Não, IPs são mais confiáveis do que domínios. 
 
Não, quanto mais IPs bloqueados, mais segura estará a minha rede. 
 
Não, IPs recebidos como maliciosos devem ser bloqueados de qualquer forma. 
 
Sim, um IP não pode ser considerado malicioso. 
 Sim, um IP pode estar associado a múltiplos websites que podem não ser 
maliciosos. 
 
 
 7. Ref.: 3555584 Pontos: 1,00 / 1,00 
 
Como exemplos de TIP podemos citar: 
 
 
Cisco ASA, Checkpoint, Palo Alto Firewall. 
 
Todas as alternativas estão corretas. 
 
Snort, BRO, Suricata. 
 ThreatConnect, MISP, AlienVault. 
 
AWS, Azure, GCP. 
 
 
 8. Ref.: 3555603 Pontos: 1,00 / 1,00 
 
No estacionamento da empresa um funcionário achou um usb drive (pendrive) com adesivo 
escrito `Planilha de Salários¿. 
Chegando na sua mesa o funcionário inseriu o pendrive e viu que continha o arquivo 
¿Planilha.xls¿ . Em qual fase do Cyber Kill 
Chain esse cenário se enquadra? 
 
 Delivery. 
 
Nenhuma das anteriores. 
 
Reconnaissance. 
 
Exploitation. 
 
Installation. 
 
 
 9. Ref.: 3555622 Pontos: 1,00 / 1,00 
 
Uma das primeiras ações do malware, quando entrou no sistema, foi desabilitar o sistema 
de Antivírus. Essa técnica está ligada a qual Tática do modelo MITRE ATT&CK? 
 
 
Discovery. 
 
Exfiltration. 
 
Lateral Movement. 
 Defense Evasion. 
 
Nenhuma das Anteriores. 
 
 
 10. Ref.: 3555668 Pontos: 1,00 / 1,00 
 
O que uma busca por endereços Bitcoin pode nos revelar? 
 
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555565.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555584.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555603.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555622.');
javascript:alert('C%C3%B3digo%20da%20quest%C3%A3o:%203555668.');
 
O nome do dono da carteira Bitcoin. 
 
O nome da pessoa que fez depósito na carteira Bitcoin. 
 As transações associadas àquele endereço Bitcoin. 
 
O CPF do dono da carteira Bitcoin. 
 
Nenhuma das alternativas.