INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS

Prévia do material em texto

1a 
 Questão 
Acerto: 1,0 / 1,0 
 
Qual a ordem correta em que os analistas de CTI seguem durante o seu trabalho: 
 
 1.Planejamento e Requerimentos > 2.Coleta e processamento de Informações > 
3.Análise > 4.Produção > 5.Disseminação 
 
1.Produção > 2.Análise > 3.Disseminação > 4.Planejamento e Requerimentos > 
5.Coleta e processamento de Informações 
 
1.Disseminação > 2.Produção > 3.Análise > 4.Coleta e processamento de 
Informações > 5.Planejamento e Requerimentos 
 
1.Análise > 2.Coleta e processamento de Informações > 3.Produção > 
4.Disseminação > 5.Planejamento e Requerimentos 
 
1.Coleta e processamento de Informações > 2.Planejamento e Requerimentos > 
3.Produção > 4.Disseminação > 5.Analise 
Respondido em 04/10/2020 11:01:20 
 
Explicação: 
Planejamento e Requerimentos > Coleta e processamento de Informações > Análise > 
Produção > Disseminação 
 
 
2a 
 Questão 
Acerto: 0,0 / 1,0 
 
Em uma busca por IOCs, foi fornecido o trafego a seguir. No trafego abaixo, qual 
URL está sendo acessada? 
GET /fotos/238105.jpg HTTP/1.1 
Host: arquivos.tribunadonorte.com.br 
Connection: keep-alive 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 
(KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 
Accept: image/webp,image/apng,image/*,*/*;q=0.8 
Referer: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-
rica/477478 
Accept-Encoding: gzip, deflate 
Accept-Language: en-US,en;q=0.9 
Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9 
 
 
 /fotos/238105.jpg HTTP/1.1 
 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 
 
Nenhuma alternativa está correta 
 arquivos.tribunadonorte.com.br/fotos/238105.jpg 
 
http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-
rica/477478 
Respondido em 13/10/2020 00:50:48 
 
Explicação: 
O URL que está sendo acessada é o arquivos.tribunadonorte.com.br/fotos/238105.jpg 
 
 
3a 
 Questão 
Acerto: 1,0 / 1,0 
 
A parte abaixo faz parte de qual seção de um relatorio de um sistema Sandbox? 
hostAddress hostPort hostProtocol domainName domainCountry hostAsn 
flagged 
94.158.245[.]160 80 TCP safuuf7774[.]pw Moldova Republic of 0 
194.158.246[.]137 443 TCP bacninhcomputer[.]com Switzerland 0 
195.171.92[.]116 80 TCP geo.netsupportsoftware[.]com United 
Kingdom 0 
 
 
 Seção Analise de Rede (Network Analysis) 
 
Seção Arquivos Coletados (Extracted Files) 
 
Seção Strings Coletadas (Extracted Strings) 
 
Nenhuma das alternativas está correta 
 
Seção Detalhes do Arquivo (File Details) 
Respondido em 13/10/2020 00:50:45 
 
Explicação: 
Este pequeno pedaço de um relatorio de um sistema sandbox faz parte da seção de 
Network Analysis. Quando pegamos um relatorio e queremos ver diretamente quais hosts 
que o malware está tentando comunicar, podemos ir direto nesta seção, onde vemos os IPs 
e Dominios. 
 
 
4a 
 Questão 
Acerto: 0,0 / 1,0 
 
OSINT é a sigla em ingles para Open Source Intelligence. O que quer dizer para nós no 
contexto de CTI? 
 
 Busca de informações com GNU/Linux. 
 
Programas com codigo fonte aberto e disponivel 
 
Busca por inteligencia utilizando inteligencia artificial (IA). 
 
Informações que podem ser conseguidas através de pagamento. 
 Informações que podem ser adquiridas livremente na internet 
Respondido em 13/10/2020 00:50:43 
 
Explicação: 
OSINT ou Open Source Intelligence diz respeito a informações que podem ser encontradas 
livremente na internet. 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Como chama a função do Matego que automatiza atividades que normalmente teriam 
que ser realizadas manualmente. Como exemplo temos o footprint de infraestrutura 
que busca várias informações a partir de um domínio. 
 
 Machines 
 
AutoMaltego 
 
Fingerprint 
 
RunDown 
 
AutoSearch 
Respondido em 13/10/2020 00:50:36 
 
Explicação: 
A ferramenta Maltego oferece uma opção chamada Machines (máquinas) que é um 
conjunto de ações consecutivas que automatiza uma serie de atividades que normalmente 
teriam que ser realizadas manualmente. Como exemplo temos o footprint de infraestrutura 
que busca várias informações a partir de um domínio. 
 
 
6a 
 Questão 
Acerto: 1,0 / 1,0 
 
De acordo com output do script VirusGotal abaixo: 
./virusgotal url www.malwareishere.com.br 
www.malwareishere.com.br scan results: 
VirusTotal link: 
https://www.virustotal.com/url/2cc58e3243541f95e312c9e5fafd7ed8d52792b37a8ef90a2b10d0
ad05c8be3d/analysis/1572942604/ 
Detection ratio: 50/61 
 
Mostra que: 
 
 O site malwareishere foi detectado como malicioso por 50 programas de anti-virus 
 
O site VirusTotal nao detectou o site malwareishere como malicioso. 
 
O site malwareishere está infectado com 50 virus 
 
O site malwareishere está infectado com 61 virus 
 
O site malwareishere foi detectado como malicioso por 61 programas de anti-virus. 
Respondido em 13/10/2020 00:50:38 
 
Explicação: 
VirusTotal detectou o site malwareishere como malicioso por 50 de um total de 61 programas de anti-
virus. 
 
 
7a 
 Questão 
Acerto: 0,0 / 1,0 
 
São ferramentas de SIEM (Gerenciamentos de Eventos e Informações e Segurança)? 
 
 LogRhythm 
 Snort 
 
IBM QRadar 
 
ELK 
 
Splunk 
Respondido em 13/10/2020 00:51:43 
 
Explicação: 
Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido 
inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e 
registro de pacote em redes. 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma 
ferramenta de Proxy entraria como qual categoria de Ferramenta? 
 
 Nenhuma das anteriores. 
 
 
Ferramenta de Atraso. 
 
Ferramenta de Detecção. 
 
Ferramenta para Enganar. 
 
Ferramenta de Interrupção de Ataques. 
Respondido em 13/10/2020 00:50:40 
 
Explicação: 
Nenhuma das anteriores. No caso da ferramenta de Proxy, ela entraria como uma Ferramenta 
para Bloqueio, pois muitas vezes o servidor remoto do Command & Control é conhecido como 
malicioso e o proxy já pode bloqueá-lo automaticamente. Outro cenário é de um servidor 
remoto que está usando uma porta TCP pouco usada, como 9123, e o servidor proxy apenas 
permite portas 80 e 443. 
 
 
9a 
 Questão 
Acerto: 1,0 / 1,0 
 
O que é o modelo MITRE ATT&CK? 
 
 É um modelo que engloba diferentes taticas e técnicas utilizadas em um ataque 
 
É um grupo hacker que realiza diferentes ataques a rede 
 
É um framework de Pen-test 
 
É um conjunto de técnicas de ataque 
 
São regras de firewall que ajudam a prevenir um ataque 
Respondido em 04/10/2020 11:09:25 
 
Explicação: 
O modelo MITRE ATT&CK é uma base de conhecimentos de diferentes táticas de ataque. 
Cada tática é então quebrada em diferentes técnicas que são utilizadas para se atingir o 
objetivo da tática utilizada. 
 
 
10a 
 Questão 
Acerto: 0,0 / 1,0 
 
Que informação o site Have I been pwned revela sobre um endereço de e-mail: 
 
 Opções A e C. 
 Se o endereço está presente em uma base de dados que foi comprometida e 
vazada. 
 
Qual senha foi comprometida. 
 
Se o e-mail tem uma senha forte. 
 
Em qual base de dados ele foi vazado. 
Respondido em 19/09/2020 22:30:03 
 
Explicação: 
A ferramenta maltego, ou a versão web do site Have I been pwned permite que se use um 
endereço e-mail como ponto de entrada para que ele possa revelar se o endereço de e-mail 
encontra-se em uma base de dados de uma empresa que foi comprometida e vazada, e ainda 
revela o nome da empresa. Isso ajuda para que o usuário possa trocar sua senha em todos 
os outros sites em que ele possivelmente tenha usado a mesma senha.