Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	Os antivírus tradicionais baseados em detecção por assinaturas já se tornaram obsoletos há muito tempo. Atualmente, a ferramenta ideal para defesa de uma estação de trabalho e sistemas de servidores contra malware reúne habilidades combinadas de várias tecnologias em uma única ferramenta. Como funcionalidade de antivírus, antimalware, antispyware, firewall pessoal, bloqueia a execução de aplicativos suspeitos, previne intrusão atuando como uma segunda camada de proteção junto com os firewall pessoais, bloqueia dispositivos como USB e, dependendo da solução, atua como um HIDS (Host IDS). Qual o nome dado a esse tipo de ferramenta?
	
	
	
	
		Resposta Selecionada:
	 
Endpoint Protection.
	Respostas:
	Antirootkit.
	
	Antivírus NG.
	
	 
Endpoint Protection.
	
	IPS.
	
	UTM.
	Comentário da resposta:
	As ferramentas denominadas Endpoint Protection são a nova geração de ferramentas de defesa contra malware, substituindo os antivírus tradicionais.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Existe a possibilidade de ataque onde se usam técnicas para download e instalação via o uso de software legítimo e funções disponíveis no sistema operacional. Em alguns casos, são usadas funcionalidades não documentadas. Sendo o uso de software legítimo nesses cenários, a possibilidade da não geração de alarmes nos sistemas de defesas é muito grande. Qual é o nome atribuído a essa técnica?
	
	
	
	
		Resposta Selecionada:
	 
Living off the land – LotL.
	Respostas:
	Comando e Controle - C2.
	
	Blended Threats.
	
	 
Living off the land – LotL.
	
	Ameaça Persistente Avançada - APT.
	
	Metamorfismo.
	Comentário da resposta:
	As técnicas denominadas como “Living off the land - LotL” são empregadas em muitos ataques, normalmente para facilitar transferências de arquivos, criação de backdoors e exfiltração de dados. Por serem baseadas no uso de binários legítimos do sistema operacional, muitas vezes acabam sendo muito furtivas e não gerando alarmes em ferramentas de segurança.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Durante uma análise dinâmica, foi percebido que o malware analisado tenta fazer comunicação via protocolo ICMP com um IP específico. Ao analisar o payload (conteúdo do pacote), foram identificadas informações que remetiam a solicitações de confirmações de comandos. Que tipo técnica de comunicação estava sendo utilizada?
	
	
	
	
		Resposta Selecionada:
	 
Comunicação via canal dissimulado via Rawsocket.
	Respostas:
	Comunicação ICMP via porta 1.
	
	 
Comunicação via canal dissimulado via Rawsocket.
	
	Comunicação de rede via socket com o protocolo ICMP.
	
	Não é possível utilizar o protocolo ICMP para o propósito descrito.
	
	Comunicação via ICMP via tunelamento UDP.
	Comentário da resposta:
	Comunicação via canal dissimulado pode ser feita via diferentes tipos de protocolos, entre eles o ICMP, que originalmente é um protocolo para controle de erro e, como não usa porta, uma conexão ICMP é realizada via Rawsocket.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Qual é a motivação de renomear um artefato binário, removendo sua extensão (como: .exe, .com, .scr), durante uma análise?
	
	
	
	
		Resposta Selecionada:
	 
Para evitar a execução do malware acidental acha visto que o sistema operacional Windows considerar a extensão do arquivo para defini-lo como executável.
	Respostas:
	Porque algumas ferramentas de análise não permitem a análise de um arquivo binário, assim sendo ao remover a extensão burla-se a identificação do tipo de arquivo.
	
	 
Para evitar a execução do malware acidental acha visto que o sistema operacional Windows considerar a extensão do arquivo para defini-lo como executável.
	
	Para desativa a comunicação do malware com a biblioteca dinâmica (DLL) do sistema.
	
	É um procedimento de cadeia de custódia comumente usado na análise de um malware.
	
	Para evitar geração de falso positivo durante análise de um malware.
	Comentário da resposta:
	Extensões são metadados de arquivos, residentes na tabela de alocação e facilmente manipuláveis.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	A equipe de "Threat Hunting" (em português, “caça às ameaças”) identificou um malware ativo em três servidores, que foram comprometidos devido a uma vulnerabilidade já conhecida e publicada, com correção disponível, mas que infelizmente não havia sido aplicado. 
O malware em questão é do tipo fileless, ou seja, só se tem evidência dele em memória. Com o objetivo de entender mais detalhes sobre esse malware, foi realizada, entre outras ações, a criação de um dump de memória dos 3 servidores, que foi encaminhada à equipe forense para que fosse feita uma forense de memória. 
Considerando esse contexto, seria correto classificar a forense de memória como uma análise do tipo:
	
	
	
	
		Resposta Selecionada:
	 
análise estática.
	Respostas:
	 
análise estática.
	
	análise de malware em dump.
	
	análise dinâmica.
	
	análise in vivo.
	
	engenharia reversa.
	Comentário da resposta:
	Ainda que uma forense de memória possibilite a visibilidade de informações de processos e outros dados coletados in vivo, ainda assim se trata de uma análise estática.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Por que, durante a análise de um sistema operacional Windows comprometido, a análise de informações de recursos configurados no Autoruns é recomendável?
	
	
	
	
		Resposta Selecionada:
	 
Porque é comum usar o recurso de Autoruns como meio de persistência para execução de um malware, como uma backdoor.
	Respostas:
	Porque é onde ficam as informações de arquivos Prefetch.
	
	 
Porque é comum usar o recurso de Autoruns como meio de persistência para execução de um malware, como uma backdoor.
	
	Porque Autoruns gerenciam atividades de chaves de registros importantes.
	
	Para confirmar se existe um clássico malware conhecido como Winlogon.
	
	Porque é comum as ferramentas denominadas Sysinternals utilizarem o recurso de Autoruns para inicializar automaticamente a cada boot.
	Comentário da resposta:
	Autoruns é uma área na qual pode-se configurar programas para serem executados durante a inicialização ou o login do sistema operacional Microsoft Windows. Esses programas ou scripts têm suas configurações incluídas em pastas de inicialização, Run, RunOnce e outras chaves de registro, tanto no contexto do sistema operacional quanto no contexto do usuário.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Um usuário, desejando contornar a solicitação de um "serial number" para validar a assinatura e liberar todos os recursos de um jogo, baixou em sua estação de trabalho um programa denominado "keygen", que em sua descrição dizia ser capaz de gerar "serial numbers" válido para o jogo. 
Mesmo com uma notificação indicando que o programa poderia ser malicioso, o usuário executou o programa "keygen". Teve sucesso na geração do "serial number" e liberou todas as funcionalidades do jogo. Dias depois, sua máquina foi identificada pelo antivírus como infectada por um agente de Botnet. Após uma análise, foi identificado que a origem da infecção foi o arquivo "keygen".  Diante dos fatos, como é possível classificar esse programa "keygen"?
	
	
	
	
		Resposta Selecionada:
	 
Trojan
	Respostas:
	Phishing 
	
	Spyware
	
	Ransomware
	
	 
Trojan
	
	Worm
	Comentário da resposta:
	O trojan ou cavalo de troia é um malware que se propaga, muitas vezes, por meio de um programa oficial que foi comprometido por um cracker. É um programa malicioso disfarçado de aplicativo comum.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	Em um cenário hipotético, uma análise dinâmica identificou que o malware analisado tentava se comunicar com outras máquinas na rede, tentando explorar uma falha do serviço RPC do Windows via porta 135/tcp. Que tipo de malware tem essa característica?
	
	
	
	
		Resposta Selecionada:
	 
Worm.
	Respostas:
	Backdoor.
	
	Vírus.
	
	 
Worm.
	
	Adware.
	
	Spyware.
	Comentário da resposta:
	Um worm é um malware que, em sua engenharia, tem definidas funções deautorreplicação, sendo muito comum a exploração remota de algum serviço vulnerável.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	O Sysadmin foi notificado pela equipe de segurança que o IDS reportou tráfego de rede que denotam atividades estranhas, oriunda do servidor Web na porta 666.
Antes de tomar qualquer ação reativa, o administrador precisava saber que aplicação estava ativa na respectiva porta. Habilmente, recorreu ao shell do sistema e usou o comando “fuser” para ter mais informações sobre a aplicação.
Ao utilizar o comando “fuser”, como é exposto a seguir, ficou claro que o processo vinculado ao daemon xinetd (gerenciador de serviços de rede) na realidade é a shell bash (interpretador de comando).
webserver# fuser –v 666/tcp
                               USER                       PID          ACCESS   COMMAND
666/tcp   root                         1211        f.......                       xinetd
               root                         4942        f.......                       bash
Qual afirmativa a seguir é verdadeira sobre o possível comprometimento do servidor web?
	
	
	
	
		Resposta Selecionada:
	c. 
A saída do comando não é informação suficiente para afirmar um comprometimento, pois é comum o uso de uma shell (interpretador de comando) como serviço de rede.
	Respostas:
	a. 
Não é possível afirmar que ocorreu comprometimento, haja visto que serviços de rede em uma porta 666 não necessariamente são uma atividade de malware.
	
	b. 
A atividade na porta 666 é um indicativo de comprometimento contundente, uma vez que é identificada uma shell (interpretador de comando), no caso bash, ativa em uma porta e um processo cujo dono é o usuário root. O fato de o processo ser em uma porta abaixo de 1024 denota que o processo foi inicializado pelo usuário root.
	
	c. 
A saída do comando não é informação suficiente para afirmar um comprometimento, pois é comum o uso de uma shell (interpretador de comando) como serviço de rede.
	
	d. 
O uso de uma shell (interpretador de comando) em uma porta abaixo de 1024 denota que o processo pode ter sido inicializado por qualquer usuário que tem acesso ao servidor, pois não demanda acesso privilegiado.
	
	e. 
É possível afirmar que ocorreu um comprometimento, pois um serviço de rede sendo executado na porta 666 é um indicador de comprometimento irrefutável, já que é uma porta reservada.
	Comentário da resposta:
	Técnicas furtivas, como a exemplificada, têm por objetivo ocultar ou dificultar a identificação de padrões que possam indicar anomalias, que remetam a um incidente em curso ou já ocorrido.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	A string em formato ASCII MZ, no cabeçalho de um binário, corresponde a um binário de que tipo?
	
	
	
	
		Resposta Selecionada:
	 
Formato Windows PE 32 e 64 bits.
	Respostas:
	Compilado em formato .com.
	
	Formato Linux ELF 64 bits.
	
	 
Formato Windows PE 32 e 64 bits.
	
	Compilado em formato .exe.
	
	Formato Linux ELF 32 bits.
	Comentário da resposta:
	Essa sequência em ASCII corresponde a um binário no formato PE.
	
	
	
image1.gif
image2.gif