QUIZ MALWARE

Prévia do material em texto

<p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 1/7</p><p>Revisar envio do teste: Clique aqui para iniciar o Quiz</p><p>STDCCAS5DA_2304-2304-695427 2304-ANÁLISE DE MALWARES Quiz</p><p>REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ</p><p>Usuário HEITOR CORREIA SOUZA</p><p>Curso 2304-ANÁLISE DE MALWARES</p><p>Teste Clique aqui para iniciar o Quiz</p><p>Iniciado 25/03/24 21:34</p><p>Enviado 25/03/24 21:47</p><p>Data de vencimento 27/03/24 23:59</p><p>Status Completada</p><p>Resultado da tentativa 8 em 10 pontos</p><p>Tempo decorrido 13 minutos</p><p>Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários</p><p>Pergunta 1</p><p>A sequência de caracteres em hexadecimal 00 00 50 45, no cabeçalho de um</p><p>binário, corresponde a um binário de que tipo?</p><p>Resposta Selecionada: Formato Windows PE 32 e 64 bits.</p><p>Respostas: Compilado em formato .com.</p><p>Formato Linux ELF 64 bits.</p><p>Formato Windows PE 32 e 64 bits.</p><p>Compilado em formato .exe.</p><p>Formato Linux ELF 32 bits.</p><p>Comentário da</p><p>resposta:</p><p>Essa sequência em ASCII corresponde a um binário no</p><p>formato PE.</p><p>Pergunta 2</p><p>Sala de Aula Tutoriais</p><p>0 em 1 pontos</p><p>0 em 1 pontos</p><p>HEITOR CORREIA SOUZA</p><p>102</p><p>https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_235639_1</p><p>https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_235639_1&content_id=_10671723_1&mode=reset</p><p>https://www.ead.senac.br/</p><p>https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1</p><p>https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1</p><p>https://senacsp.blackboard.com/webapps/login/?action=logout</p><p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 2/7</p><p>Em um cenário hipotético, uma análise dinâmica identificou que o malware</p><p>analisado tentava se comunicar com outras máquinas na rede, tentando explorar</p><p>uma falha do serviço RPC do Windows via porta 135/tcp. Que tipo de malware tem</p><p>essa característica?</p><p>Resposta Selecionada: Vírus.</p><p>Respostas: Backdoor.</p><p>Vírus.</p><p>Worm.</p><p>Adware.</p><p>Spyware.</p><p>Comentário da</p><p>resposta:</p><p>Um worm é um malware que, em sua engenharia, tem</p><p>definidas funções de autorreplicação, sendo muito comum a</p><p>exploração remota de algum serviço vulnerável.</p><p>Pergunta 3</p><p>Qual o valor em hexadecimal encontrado no campo "PE Header" de um binário do</p><p>Windows (Portable Executable - PE)?</p><p>Resposta Selecionada: 50 45 00 00</p><p>Respostas: 00 00 50 45</p><p>FF FF 00 D9</p><p>D9 36 00 10</p><p>50 45 00 00</p><p>FF FF FF FF</p><p>Comentário da</p><p>resposta:</p><p>O cabeçalho do PE header é onde fica a assinatura do</p><p>arquivo: 50 45 00 00.</p><p>Pergunta 4</p><p>Considere um cenário onde um sistema computacional foi comprometido por um</p><p>malware que criptografa dados específicos, como documentos, planilhas,</p><p>apresentações. Foi exibida uma mensagem que solicitava um valor expressivo</p><p>em bitcoins para que fosse fornecida uma chave criptografada para possibilitar</p><p>acesso aos arquivos criptografados. Que tipo de malware tem essa característica?</p><p>Resposta Selecionada: Ransomware.</p><p>1 em 1 pontos</p><p>1 em 1 pontos</p><p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 3/7</p><p>Respostas: Backdoor.</p><p>Vírus.</p><p>Worm.</p><p>Adware.</p><p>Ransomware.</p><p>Comentário da</p><p>resposta:</p><p>Os Ransomware são uma categoria de malware que promove</p><p>o sequestro de dados. Usualmente, o pagamento do resgate</p><p>solicitado é via bitcoin.</p><p>Pergunta 5</p><p>Qual técnica envolve uma análise estática avançada de malware?</p><p>Resposta</p><p>Selecionada: O uso de recurso de depuração e desmontagem (disassembly)</p><p>e, em caso muitos específicos, descompiladores.</p><p>Respostas: O uso de sandbox arrojadas que permitam desmontar o binário</p><p>em tempo de execução.</p><p>O uso de depuradores para desmontar o conteúdo binário e</p><p>extrair metadados úteis.</p><p>O uso de recurso de depuração e desmontagem (disassembly)</p><p>e, em caso muitos específicos, descompiladores.</p><p>O uso de descompiladores combinados com sandbox para</p><p>interceptar ações do malware em tempo de execução.</p><p>O uso combinado de ferramentas SysInternals para coletar</p><p>informações relacionadas ao comportamento do malware</p><p>durante a execução.</p><p>Comentário da</p><p>resposta:</p><p>Técnicas avançadas de análise estática demandam</p><p>ferramentas específicas como depuradores e desmontadores.</p><p>Em casos especiais, descompiladores.</p><p>Pergunta 6</p><p>Um analista recebeu um malware para análise e, durante as etapas iniciais, ele</p><p>deseja extrair as strings, mas com o endereço de offset. Qual a ferramenta</p><p>recomendável para essa ação?</p><p>Resposta Selecionada: srch_strings.</p><p>1 em 1 pontos</p><p>1 em 1 pontos</p><p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 4/7</p><p>Respostas: Bulk_extractor.</p><p>Strings.</p><p>srch_strings.</p><p>Type.</p><p>Grep.</p><p>Comentário da</p><p>resposta:</p><p>Srch_strings é uma ferramenta oriunda do kit forense</p><p>conhecido como sleuthkit, que permite extrair uma string e</p><p>identificar o endereço de offset.</p><p>Pergunta 7</p><p>Quais as duas partes básicas de um arquivo binário do Windows (Portable</p><p>Executable - PE)?</p><p>Resposta Selecionada: Header (cabeçalho) e Sections (seções)</p><p>Respostas: Header (cabeçalho) e Sections (seções)</p><p>Nome e extensão</p><p>.text e.exec</p><p>MZ e extensões</p><p>Preambulo e bibliotecas</p><p>Comentário</p><p>da resposta:</p><p>O formato PE possui as seguintes estruturas de dados:</p><p>cabeçalho MZ DOS, fragmento (stub) DOS, cabeçalho de arquivo</p><p>PE, cabeçalho de imagem opcional, tabela de seções (que possui</p><p>uma lista de cabeçalhos de seção), diretórios de dados (que</p><p>contém os ponteiros para as seções) e ultimamente as seções</p><p>propriamente ditas.</p><p>Pergunta 8</p><p>O Sysadmin foi notificado pela equipe de segurança que o IDS reportou tráfego de</p><p>rede que denotam atividades estranhas, oriunda do servidor Web na porta 666.</p><p>Antes de tomar qualquer ação reativa, o administrador precisava saber que</p><p>aplicação estava ativa na respectiva porta. Habilmente, recorreu ao shell do</p><p>sistema e usou o comando “fuser” para ter mais informações sobre a aplicação.</p><p>Ao utilizar o comando “fuser”, como é exposto a seguir, ficou claro que o processo</p><p>vinculado ao daemon xinetd (gerenciador de serviços de rede) na realidade é a</p><p>shell bash (interpretador de comando).</p><p>1 em 1 pontos</p><p>1 em 1 pontos</p><p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 5/7</p><p>webserver# fuser –v 666/tcp</p><p>USER PID ACCESS COMMAND</p><p>666/tcp root 1211 f....... xinetd</p><p>root 4942 f....... bash</p><p>Qual afirmativa a seguir é verdadeira sobre o possível comprometimento do</p><p>servidor web?</p><p>Resposta</p><p>Selecionada:</p><p>b.</p><p>A atividade na porta 666 é um indicativo de comprometimento</p><p>contundente, uma vez que é identificada uma shell (interpretador</p><p>de comando), no caso bash, ativa em uma porta e um processo</p><p>cujo dono é o usuário root. O fato de o processo ser em uma</p><p>porta abaixo de 1024 denota que o processo foi inicializado pelo</p><p>usuário root.</p><p>Respostas: a.</p><p>Não é possível afirmar que ocorreu comprometimento, haja visto</p><p>que serviços de rede em uma porta 666 não necessariamente</p><p>são uma atividade de malware.</p><p>b.</p><p>A atividade na porta 666 é um indicativo de comprometimento</p><p>contundente, uma vez que é identificada uma shell (interpretador</p><p>de comando), no caso bash, ativa em uma porta e um processo</p><p>cujo dono é o usuário root. O fato de o processo ser em uma</p><p>porta</p><p>abaixo de 1024 denota que o processo foi inicializado pelo</p><p>usuário root.</p><p>c.</p><p>A saída do comando não é informação suficiente para afirmar um</p><p>comprometimento, pois é comum o uso de uma shell</p><p>(interpretador de comando) como serviço de rede.</p><p>d.</p><p>O uso de uma shell (interpretador de comando) em uma porta</p><p>abaixo de 1024 denota que o processo pode ter sido inicializado</p><p>por qualquer usuário que tem acesso ao servidor, pois não</p><p>demanda acesso privilegiado.</p><p>e.</p><p>É possível afirmar que ocorreu um comprometimento, pois um</p><p>serviço de rede sendo executado na porta 666 é um indicador de</p><p>comprometimento irrefutável, já que é uma porta reservada.</p><p>Comentário da</p><p>resposta:</p><p>Técnicas furtivas, como a exemplificada, têm por objetivo</p><p>ocultar ou dificultar a identificação de padrões que possam</p><p>indicar anomalias, que remetam a um incidente em curso ou já</p><p>ocorrido.</p><p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 6/7</p><p>Pergunta 9</p><p>Qual a origem da assinatura "MZ" encontrada em binários do Windows (Portable</p><p>Executable - PE)?</p><p>Resposta</p><p>Selecionada:</p><p>É uma referência ao especialista Mark Zbikowski.</p><p>Respostas: Um acrônimo para a palavra Microsoft, mas usando a letra</p><p>“z” no lugar da letra “s”.</p><p>A assinatura de binário PE não é “MZ”.</p><p>É uma referência ao especialista Mark Zbikowski.</p><p>É uma referência ao especialista Mark Zuckerberg.</p><p>Não existe assinatura no cabeçalho de um arquivo PE.</p><p>Comentário da</p><p>resposta:</p><p>Mark Zbikowski foi engenheiro da Microsoft, onde começou a</p><p>trabalhar poucos anos após a sua fundação, atuando no MS-</p><p>DOS, OS/2, Cairo e Windows NT.</p><p>Pergunta 10</p><p>A equipe de "Threat Hunting" (em português, “caça às ameaças”) identificou um</p><p>malware ativo em três servidores, que foram comprometidos devido a uma</p><p>vulnerabilidade já conhecida e publicada, com correção disponível, mas que</p><p>infelizmente não havia sido aplicado.</p><p>O malware em questão é do tipo fileless, ou seja, só se tem evidência dele em</p><p>memória. Com o objetivo de entender mais detalhes sobre esse malware, foi</p><p>realizada, entre outras ações, a criação de um dump de memória dos 3</p><p>servidores, que foi encaminhada à equipe forense para que fosse feita uma</p><p>forense de memória.</p><p>Considerando esse contexto, seria correto classificar a forense de memória como</p><p>uma análise do tipo:</p><p>Resposta Selecionada: análise estática.</p><p>Respostas: análise estática.</p><p>análise de malware em dump.</p><p>análise dinâmica.</p><p>análise in vivo.</p><p>engenharia reversa.</p><p>Comentário da</p><p>resposta:</p><p>Ainda que uma forense de memória possibilite a visibilidade de</p><p>informações de processos e outros dados coletados in vivo,</p><p>ainda assim se trata de uma análise estática.</p><p>1 em 1 pontos</p><p>1 em 1 pontos</p><p>25/03/2024, 21:47 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...</p><p>https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_36748649_1&course_id=_235639_1&content_id=_106717… 7/7</p><p>Segunda-feira, 25 de Março de 2024 21h47min50s BRT</p><p>← OK</p>