Prévia do material em texto
Disc.: INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS Aluno(a): LUAN DE SOUSA DOMINGUES 201902368771 Acertos: 9,0 de 10,0 07/10/2020 Acerto: 0,0 / 1,0 Podem ser considerados exemplos de fontes de informações: Ferramentas de Sandbox Todas as alternativas estao corretas Blogs e Sites de Segurança de Informações Relatorios, Artigos e Whitepapers criados por empresas de segurança de informações Honeypots e seus logs gerados Respondido em 07/10/2020 10:43:51 Explicação: Basicamente todo tipo de informação que pode ser encontrado livremente na internet é uma potencial fonte de informação. Como estamos falando de Segurança cibernética, exemplos comuns são Blogs voltados para segurança, relatórios e artigos de empresas de segurança, além de informações fornecidas por ferramentas como honeypots e sandbox. Acerto: 1,0 / 1,0 Um exemplo de um indicador de compromisso é: Todas as alternativas estão corretas Endereço IP Um hash md5 de um arquivo executavel Um endereço tipo URL Um dominio Respondido em 07/10/2020 11:05:00 Questão1 a Questão2 a https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); Explicação: Todos os exemplos citados, IP, URL, Dominio e URL são exemplos de IOCs, que podem ser usados para deteção de atividade maliciosa. Acerto: 1,0 / 1,0 Em um relatório de sandbox, o que quer dizer a linha abaixo: "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value: ""%ALLUSERSPROFILE%\Drivers\svvhost.exe"") Nenhuma das alternativas está correta. O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado. "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para instalação de drivers no sistema. Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema. Existe um novo driver no sistema, chamado svvhost.exe Respondido em 07/10/2020 11:04:02 Explicação: A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar despercebido. Acerto: 1,0 / 1,0 Qual ferramenta geralmente pode ser utilizada para descobrir dados referentes a um domínio na internet, como nome completo, CPF ou CNPJ? Nessus Shodan Whireshark Whois Nmap Respondido em 07/10/2020 10:46:00 Explicação: É um protocolo TCP (porta 43) específico para consultar informações de contato e DNS sobre entidades na internet. Uma entidade na internet pode ser um nome de domínio, um endereço IP ou um AS (Sistema Autônomo). Acerto: 1,0 / 1,0 Questão3 a Questão4 a Questão 5a A interação do Maltego com o site Virus Total nos permite pegar as seguintes informações a partir de um hash (seja Md5, SHA- 1 ou SHA-256): Versão do malware Data de criação do arquivo Strings dentro do arquivo Numero de antivirus que detectam o hash, e o nome da deteção Tamanho do arquivo Respondido em 07/10/2020 11:07:28 Explicação: O transform do VirusTotal do Maltego nos permite descobrir se um antivirus detecta o arquivo como malicioso e qual o nome da detecção. Acerto: 1,0 / 1,0 Porque a idade de um IOC é importante? Para colocar mais detalhes no relatorio Idade do IOC não é importante para uma analise Todos IOCs devem ter a mesma idade. Porque IOCs mais antigos tem mais credibilidade Para poder realizar uma analise com o contexto correto Respondido em 07/10/2020 11:08:09 Explicação: A idade de um IOC é fundamental para se assinalar um nível de prioridade ou criticidade a algum evento. Acerto: 1,0 / 1,0 Como exemplos de TIP podemos citar: Snort, BRO, Suricata Linux, Windows e MacOSX ThreatConnect, MISP, AlienVault AWS, Azure, GCP Cisco ASA, Checkpoint, Palo Alto Firewall Respondido em 07/10/2020 11:06:33 Explicação: Questão6 a Questão7 a Snort, Bro e Suricata são exemplos de IDS, Cisco Checkpoint e Palo Alto Firewall são exemplos de Firewall, e AWS, Azure e GCP são exemplos de provedores Cloud. Acerto: 1,0 / 1,0 O que melhor descreve a fase de Command & Control? Estabelecer contato com o servidor para utilização de exploits na máquina da vítima. Estabelecer contato com o servidor remoto de Comando e Controle (C&C) para envio de informações e receber comandos para serem executados na máquina da vítima. Mapeamento do servidor remoto para criação de exploit especifico para a vitima. Entrega do exploit no servidor remoto da vitima, e subsequente exploração Identificação da infrastrutura da vitima. Respondido em 07/10/2020 11:07:20 Explicação: A melhor descrição da fase de Command & Control é estabelecer contato com o servidor remoto de Comando e Controle (C&C) para envio de informações e receber comandos para serem executados na máquina da vítima. Acerto: 1,0 / 1,0 A tecnica de Envio de dados via Command & Control (ID: T1041), segundo o ATT&CK Enterprise está associada a qual tatica? Exfiltration (Envio de dados para fora) Credential Access (Acesso a credenciais) Discovery (Descoberta) Command & Control (Comando e Controle) Defense Evasion (Evitar a defesa) Respondido em 07/10/2020 11:08:21 Explicação: A tecnica de Envio de dados via Command & Control (ID: T1041) se enquadra na tatica de Exfiltration dentro do framework ATT&CK Enterprise. Acerto: 1,0 / 1,0 Devemos evitar a reutilização da mesma senha em diferentes sites? Não, reutilizar a senha torna mais fácil entrar nos sites sem esquecer a mesma Não, a reutilização de senhas não expõe o usuário a novos ataques Sim, pois as senhas devem conter dados como dia do nascimento ou cpf que são dados pessoais Questão8 a Questão9 a Questão10 a Sim, pois se um site é comprometido e tem seus dados vazados pode expor a vitima a ter suas contas invadidas em outros sites Não, pois os sites garantem a segurança das senhas. Respondido em 07/10/2020 11:07:51 Explicação: A reutilização de senhas deve ser evitada sempre que possível, pois se uma base de dados é comprometida e vazada, ela poderá possibilitar que outras pessoas testem a mesma combinação de usuário/senha e vários outros sites, conseguindo acesso a conta do usuário. javascript:abre_colabore('38403','208048181','4154396075');