TC_InteligenciaAmeacas_2020

Prévia do material em texto

Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por:
Escolha a alternativa errada. Porque é fundamental entender os requisitos da area "cliente" dentro de uma organização, no referente a area de CTI?
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Lupa Calc.
 
 
CCT0865_A1_201902368771_V1 
Aluno: LUAN DE SOUSA DOMINGUES Matr.: 201902368771
Disc.: INTELIG. AME.CIBER. 2020.3 EAD (GT) / EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será
composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de
questões que será usado na sua AV e AVS.
 
1.
Distribuir o produto gerado
Realizar a coleta de informações
Entender quais são os objetivos as serem cumpridos e qual a expectativa da área 'cliente'
Transformar as informações em inteligência
Todas as anteriores
Explicação:
Na fase de planejamento e requerimentos a área de CTI realiza a identificação dos requerimentos com cada
área ¿cliente¿. A área ¿cliente¿ é a área dentro da organização que irá receber o relatório criado pela área de
CTI. Nesta fase devemos entender o que o "cliente" espera receber da área de CTI.
 
 
2.
A area "cliente" pode informar a equipe/area de CTI que tipo de informações sao relevantes para a execução das suas funções.
javascript:voltar();
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:calculadora_on();
Podem ser considerados exemplos de fontes de informações:
Qual a ordem correta em que os analistas de CTI seguem durante o seu trabalho:
Segundo a Europou e CISA (2005), são ameaças cibernéticas enfrentadas por uma organização, exeto:
A area "cliente" possibilita a area de CTI criar produtos que sejam relevantes a ela
Porque a areá "cliente" é sempre uma area superior na hierarquia da empresa.
A area "cliente" conhece seus problemas e sabe que tipo de informações podem ajuda-la.
A area "cliente" pode informar a area/equipe de CTI o melhor formato para receber as informações.
Explicação:
A area cliente pode fazer parte de diferentes hierarquias dentro da organização, pode ser tanto uma area de chefia quanto uma area operacional.
 
 
3.
Blogs e Sites de Segurança de Informações
Honeypots e seus logs gerados
Todas as alternativas estao corretas
Ferramentas de Sandbox
Relatorios, Artigos e Whitepapers criados por empresas de segurança de informações
Explicação:
Basicamente todo tipo de informação que pode ser encontrado livremente na internet é uma potencial fonte de informação. Como
estamos falando de Segurança cibernética, exemplos comuns são Blogs voltados para segurança, relatórios e artigos de empresas de
segurança, além de informações fornecidas por ferramentas como honeypots e sandbox.
 
 
4.
1.Disseminação > 2.Produção > 3.Análise > 4.Coleta e processamento de Informações > 5.Planejamento e Requerimentos
1.Análise > 2.Coleta e processamento de Informações > 3.Produção > 4.Disseminação > 5.Planejamento e Requerimentos
1.Coleta e processamento de Informações > 2.Planejamento e Requerimentos > 3.Produção > 4.Disseminação > 5.Analise
1.Produção > 2.Análise > 3.Disseminação > 4.Planejamento e Requerimentos > 5.Coleta e processamento de Informações
1.Planejamento e Requerimentos > 2.Coleta e processamento de Informações > 3.Análise > 4.Produção > 5.Disseminação
Explicação:
Planejamento e Requerimentos > Coleta e processamento de Informações > Análise > Produção > Disseminação
 
 
5.
Espionagem industrial
Crime organizado
Qual a função de uma area de Inteligencia em ameaças ciberneticas dentro de uma empresa/organização?
Terrorismo
Hacktivista
OSINT
Explicação:
Open Source Intelligence (OSINT). É um modelo de inteligência que visa encontrar, selecionar e adquirir informações de fontes públicas e analisá-las
para que junto com outras fontes possam produzir um conhecimento. Na comunidade de inteligência (IC), o termo "aberto" refere-se a fontes disponíveis
publicamente.
 
 
6.
Monitorar os logs de segurança da organização, criados por ferramentas como Anti-virus.
Realizar testes de vulnerabilidade para a organização
Prover resposta a incidentes para a organização em caso de ataque
Criar mecanismos que possam garantir que a organização esteja em compliance com as
diferentes normas do mercado.
Prover produtos que possibilitem a organização conhecimento sobre ameaças que possam
afetar a segurança
Explicação:
A área de CTI tem como objetivo possibilitar que as outras áreas da organização tenham conhecimento sobre possíveis ameaças para que
possam tomar as açoes necessárias para garantir a proteção da mesma.
 
 Não Respondida Não Gravada Gravada
 
 
Exercício inciado em 17/10/2020 18:15:19. 
 
 
 
 
javascript:abre_colabore('37230','210284083','4222057769');
 
Um site de comercio eletrônico em Minas Gerais começou a perceber tráfego constante para um endereço IP da China. Esse evento pode ser
considerado um IOC?
O objetivo de inserir caracteres extras em URLs ou IPs, como:
hxxp://www.linux[.]com visa:
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Lupa Calc.
 
 
CCT0865_A2_201902368771_V1 
Aluno: LUAN DE SOUSA DOMINGUES Matr.: 201902368771
Disc.: INTELIG. AME.CIBER. 2020.3 EAD (GT) / EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será
composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de
questões que será usado na sua AV e AVS.
 
1.
A e C.
Sim, merece ser reportado como IOC para verificar se há necessidade desse tráfego.
Nenhuma das Anteriores.
Sim, pois não há razão para um tráfego do site em direção à China.
Não, tráfego para outros países é comum no comércio eletrônico.
Explicação:
Resposta correta: letra D.
Caso um site, cujo público é regional, começar a receber uma quantidade constante de tráfego de outro país como China, deverá analisar seus logs para
entender o motivo.
 
 
2.
Confundir o analista que receberá as informações.
Evitar um click acidental no link.
javascript:voltar();
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:calculadora_on();
Um exemplo de um indicador de compromisso é:
O hash SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e pode ser considerado:
Uma análise recebida de um sistema Sandbox mostrou o seguinte tráfego de rede:
Requisição:
GET / HTTP/1.1
Resposta:
HTTP/1.1 400 Bad Request
Date: Tue, 30 Jul 2019 00:06:53 GMT
Server: Apache
Content-Length: 293
Deixar o link em negrito.
Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS.
Facilitar a busca nos logs com ferramentas como grep.
Explicação:
Resposta correta: letra B.
Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver
compartilhando este IOC.
 
 
3.
Todas as alternativas estão corretas
Um endereço tipo URL
Endereço IP
Um dominio
Um hash md5 de um arquivo executavel
Explicação:
Todos os exemplos citados, IP, URL, Dominio e URL são exemplos de IOCs, que podem ser usados para deteção de atividade maliciosa.
 
 
4.
Indicador de compromisso por comportamento
Indicador de compromisso nominal
Indicador de compromisso regional
Indicador de compromisso asssimetrico
Indicador de compromisso global
Explicação:
O hash , seja ele MD5, SHA-1, SHA-256 ou outros, é considerado um Indicadore de Compromisso Nominal.
 
 
5.
Connection: close
Content-Type: text/html; charset=iso-8859-1
 
Sobre o tráfego de rede acima podemos a:
Em uma busca por IOCs, foi fornecido o trafego a seguir. No trafego abaixo, qual URL está sendo acessada?
GET /fotos/238105.jpg HTTP/1.1Host: arquivos.tribunadonorte.com.br
Connection: keep-alive
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36
Accept: image/webp,image/apng,image/*,*/*;q=0.8
Referer: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9
 
B e C.
Trata-se de um bom IOC, pois não possui User-Agent.
O melhor IOC é o servidor Apache.
Não há IOCs que possam ser usados.
É um tráfego normal de HTTP.
Explicação:
Resposta correta: letra A.
De acordo com a RFC 2616, o campo User-Agent deve ser incluído no cabeçalho HTTP, mas não é obrigatório. Porém, todos os principais browsers
(Internet Explorer, Safari, Chrome, Firefox, Opera) o utilizam. Algumas aplicações que usam API, ou bots, geralmente não utilizam.
 
 
6.
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36
http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478
arquivos.tribunadonorte.com.br/fotos/238105.jpg
/fotos/238105.jpg HTTP/1.1
Nenhuma alternativa está correta
Explicação:
O URL que está sendo acessada é o arquivos.tribunadonorte.com.br/fotos/238105.jpg
 
 Não Respondida Não Gravada Gravada
 
 
Exercício inciado em 17/10/2020 18:18:27. 
 
javascript:abre_colabore('37230','210284342','4222064783');
 
 
 
 
Os cabeçalhos do protocolo HTTP possibilitam que o cliente (usualmente um navegador web) e o servidor (o servidor remoto web) possam trocar
informações adicionais como:
 
Que informações são geralmente geradas em um sistema Sandbox?
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Lupa Calc.
 
 
CCT0865_A3_201902368771_V1 
Aluno: LUAN DE SOUSA DOMINGUES Matr.: 201902368771
Disc.: INTELIG. AME.CIBER. 2020.3 EAD (GT) / EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será
composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de
questões que será usado na sua AV e AVS.
 
1.
Se a transação foi feita com sucesso.
Se existe um redirecionamento para outro endereço.
Toda as opções.
Se a página não foi encontrada.
Qual o tipo do navegador.
Explicação:
Resposta correta: letra E.
O cabeçalho do protocolo HTTP faz parte das trocas de mensagem entre um cliente e o servidor. Ele possibilita que o cliente se comporte de certa
maneira de acordo com a resposta recebida pelo servidor, podendo mostrar uma mensagem de erro para o usuário quando a página não está mais no
servidor ou o usuário digitou a resposta incorreta, pode possibilitar que o servidor mostre o site específico para um celular dependendo da informação do
User-Agent, ou mesmo redirecionar o usuário para outro site. Estes são alguns exemplos do potencial das informações contidas no cabeçalho HTTP.
 
 
2.
javascript:voltar();
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:calculadora_on();
Em um relatório de sandbox, o que quer dizer a linha abaixo:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value: ""%ALLUSERSPROFILE%\Drivers\svvhost.exe"")
A parte abaixo faz parte de qual seção de um relatorio de um sistema Sandbox?
hostAddress hostPort hostProtocol domainName domainCountry hostAsn flagged
94.158.245[.]160 80 TCP safuuf7774[.]pw Moldova Republic of 0
194.158.246[.]137 443 TCP bacninhcomputer[.]com Switzerland 0
195.171.92[.]116 80 TCP geo.netsupportsoftware[.]com United Kingdom 0
 
Informações sobre arquivos criados no sistema pelo executavel analisado
Informações sobre chaves de registro (Register Keys) criadas, excluidas ou modificadas pelo executavel.
Todas as alternativas estão corretas.
Informações sobre dominios que o executavel tentou resolver via DNS.
Informações sobre endereços IP que o executavel tentou se conectar
Explicação:
Um sistema sandbox é capaz de capturar uma serie de informações sobre as ações realizadas por um arquivo executavel, como eventos de rede (como
endereços IPs e dominios) e de host como arquivos criados, excluidos, e de chaves de registro.
 
 
3.
Nenhuma das alternativas está correta.
Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema.
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para instalação de drivers no sistema.
Existe um novo driver no sistema, chamado svvhost.exe
O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado.
Explicação:
A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos devem ser inicializados acada vez que o
sistema reinicia. SVVHOST é um nome parecido com o executavel svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes
parecidos para passar despercebido.
 
 
4.
Seção Arquivos Coletados (Extracted Files)
Seção Detalhes do Arquivo (File Details)
Seção Analise de Rede (Network Analysis)
Nenhuma das alternativas está correta
Seção Strings Coletadas (Extracted Strings)
Explicação:
Este pequeno pedaço de um relatorio de um sistema sandbox faz parte da seção de Network Analysis. Quando pegamos um relatorio e queremos ver
diretamente quais hosts que o malware está tentando comunicar, podemos ir direto nesta seção, onde vemos os IPs e Dominios.
Em um resultado de um sistema Sandbox para um artefato (um arquivo binário executável) apareceu que o binário coloca
uma cópia em um folder e modia seguinte chave de registro:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" .
O que isso nos indica?
Um relatório gerado a partir de um sistema Sandbox mostrou o seguinte resultado:
General
a) POSTs files to a webserver
A partir desse resultado, podemos entender que:
 
 
5.
Nenhuma das alternativas.
Indica que o antivírus detectou e apagou o arquivo do sistema.
Indica que a chave de registro foi corrompida.
Indica que o Windows copiou o arquivo para o folder HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ .
Indica que o artefato está usando uma técnica para garantir que ele será iniciado toda vez que o Windows reiniciar.
Explicação:
Resposta correta: letra C.
Esta chave de registro é lida pelo sistema quando ele está sendo iniciado para garantir que os executáveis referenciados lá possam ser executados toda
vez que o sistema iniciar. O malware fazendo isso irá garantir que, mesmo que o processo se encerre, ele será iniciado novamente quando o sistema
reiniciar.
 
 
6.
Nenhuma das alternativas está correta.
O artefato realiza um download de algo que está hospedado no servidor web remoto.
O servidor web remoto não está disponível.
O artefato posta informações para o servidor web remoto.
O sistema Sandbox está realizando um ping no servidor web remoto.
Explicação:
.Resposta correta: letra B.
A resposta B é a correta, pois mostra o método utilizado em uma comunicação HTTP. Os métodos GET e POST são os mais comuns, sendo que o método
GET é utilizado para pegar dados e o método POST é utilizado para enviar dados a um servidor.
 
 Não Respondida Não Gravada Gravada
javascript:abre_colabore('37230','210284519','4222070068');
 
Sobre um post no Pastebin, podemos afirmar que:
Que tipo de informações podem ser postados em sites tipo Pastebin, como Ghostbin, Pastin, etc...?
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Lupa Calc.
 
 
CCT0865_A4_201902368771_V1 
Aluno: LUAN DE SOUSA DOMINGUES Matr.: 201902368771
Disc.: INTELIG. AME.CIBER. 2020.3 EAD (GT) / EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá pontopara sua avaliação. O mesmo será
composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de
questões que será usado na sua AV e AVS.
 
1.
Necessita de um login para postagem
Deve ser postado usando liguagem HTML
Ele ficará disponivel indefinidamente
Não pode ser postado codigo fonte java por não ser script.
Pode ser postado de forma anonima
Explicação:
Uma das vantagens do Pastebin é que os posts podem ser postados de forma anonima, sem necessidade de login. Alem disso pode ser especifciado um
tempo para que o post fique online, variando de poucos minutos até tempo indefinido.
 
 
2.
Arquivos binarios em formato base64
Texto livre
Dados roubados, postados por hackers
javascript:voltar();
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:calculadora_on();
OSINT é a sigla em ingles para Open Source Intelligence. O que quer dizer para nós no contexto de CTI?
Porque devemos utilizar ferramentas para realizar buscas em sites como Pastebin ou Github? Escolha a alternativa errada!
Para qual utilizade podemos usar o site Shodan?
Videos com tutoriais hacker
Codigo fonte e scripts
Explicação:
Apesar de se poder colocar links para sites com videos, o Pastebin e Github não sao usados para postagem de videos.
 
 
3.
Informações que podem ser conseguidas através de pagamento.
Informações que podem ser adquiridas livremente na internet
Busca de informações com GNU/Linux.
Programas com codigo fonte aberto e disponivel
Busca por inteligencia utilizando inteligencia artificial (IA).
Explicação:
OSINT ou Open Source Intelligence diz respeito a informações que podem ser encontradas livremente na internet.
 
 
4.
Scripts de busca podem identifcar palavras chave sobre um programa ou empresa e pode ajudar a achar vazamentos de informações.
Para atualizar as buscas em midas sociais como twitter e Facebook.
Scripts de busca podem ajudar a identifcar vazementos de informações intencioais e não intencionais.
Sites que funcionam como repositorios podem contem informações que não deveriam ser publicas, sobre a organização.
Scripts de busca podem ajudar a identificar desenvolvedores que armazenaram codigos externamente de forma indevida, contra as politicas da
empresa.
Explicação:
Atualização de Twitter e Facebook não fazem parte dos objetivos de se realizarem buscas em Pastebin e Github.
 
 
5.
Para quebra de senhas usando rainbow table
Para fazer um nslookup em nosso dominio
Para capturar trafego de rede
Para fazer um pentest em nossa rede
Para fazer uma busca passiva no nosso bloco de rede para verificar o que esta disponivél externamente.
É um mecanismo de buscas que permite ao usuário encontrar tipos específicos de hosts (webcams, roteadores, servidores, etc.) conectados à Internet,
usando uma variedade de filtros.
O acesso a informações fechadas em algumas ocasiões dependem de autorização judicial ou somente por pessoas autorizadas.
Qual informação abaixo não depende desse tipo de autorização?
São as informações disponíveis ao público e que não exige nenhuma espécie de restrição ao seu acesso.
Explicação:
O site Shodan realiza um scan por todos os IPs disponíveis na internet, inclusive o da nossa organização, e verifica as portas abertas, coleta os banners
com as informações do serviço e indexa estas informações. Assim podemos ver o que está disponivel externamente para todas as pessoas.
 
 
6.
Nessus
Whireshark
Whois
Nmap
Shodan
Explicação:
A função específica do SHODAN e realizar uma varredura por toda a rede mundial de computadores em busca de equipamentos como: Roteadores,
Switches, Servidores, Webcams, Celulares, Tablets, Telefones VOIP, em busca de configurações padrões como senhas, enfim qualquer dispositivo que
possibilita uma conexão com a internet e que possua configurações padrões pode ser registrado pelo SHODAN.
 
 
7.
Quebra de sigilo telefônico.
Ficha de antecedentes criminais.
Captação e interceptação ambiental.
Salários de servidores públicos.
Movimentação financeira.
Explicação:
Todo órgão publico da esfera (municipal, estadual e federal) deverá disponibilizar a folha de pagamento dos seus servidores através de um portal de
transparência, sendo disponível para acesso a qualquer cidadão.
 
 
8.
fontes fechadas
software open source
software gratuito
banco de dados
fontes abertas
Explicação:
São também conhecidas de Open Source Intelligence (INTELIGÊNCIA DE FONTES ABERTAS).
 
 Não Respondida Não Gravada Gravada
 
 
Exercício inciado em 17/10/2020 18:22:32. 
 
 
 
 
javascript:abre_colabore('37230','210284679','4222073742');
 
O Maltego é um programa capaz de determinar os relacionamentos em links do mundo real como:
A ferramenta Maltego é amplamente utilizada para OSINT. Qual a sua função?
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Lupa Calc.
 
 
CCT0865_A5_201902368771_V1 
Aluno: LUAN DE SOUSA DOMINGUES Matr.: 201902368771
Disc.: INTELIG. AME.CIBER. 2020.3 EAD (GT) / EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será
composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de
questões que será usado na sua AV e AVS.
 
1.
Nomes de DNS e Endereço de Email
Sites e Dominios
Companhias e Organizações
Pessoas e Redes Sociais
Endereço IP e Endereço MAC
Explicação:
O Maltego não faz buscas a nível de endereço MAC, somente IP.
 
 
2.
É uma ferramenta para realizar a captura de trafego da internet
É uma ferrramenta para realizar o registro de novos dominios na internet
É uma ferramenta para criação de posts no Pastebin
É uma ferramenta para criação de repositórios no Github
javascript:voltar();
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:calculadora_on();
Identifique a alternativa errada. Os plugins do Maltego, chamados de Transforms, podem: 
A interação do Maltego com o site Virus Total nos permite pegar as seguintes informações a partir de um hash (seja Md5, SHA-1 ou SHA-256):
Como podemos inserir novos Transforms no Maltego? Escolha a alternativa errada!
É uma ferramenta de "link analysis" que permite a busca e analise de informações disponiveis na internet
Explicação:
Maltego é uma ferramenta de ¿link analysis¿ criada pela empresa Paterva que permite, através de plug-ins chamados de transforms, a busca e análise
de informações disponíveis na internet.
 
 
3.
Criar regras de IDS Snort.
Realizar buscas em sites como Pastebin, LinkedIN, Twitter e outros.
Identificar blocos de IPs a partir de um unico endereço IP.
Mostrar de forma gráfica resultados de ferramentas como Nslookup e Whois
Interagir com outras plataformas como Shodan através de APIs
Explicação:
Os transforms do Maltego podem realizar diferentes funções, porem a criação de regras de IDS não faz parte delas.
 
 
4.
 Numero de antivirus que detectam o hash, e o nome da deteção
Versão do malware
Tamanho do arquivo
Strings dentro do arquivo
Data de criação do arquivo
Explicação:
O transform do VirusTotal do Maltego nos permite descobrir se um antivirus detecta o arquivo como malicioso e qual o nome da detecção.
 
 
5.
Decodificando codigo fonte usando base64 e inserindo como texto.
Podemos usar a API de algum produto que ja temos como de um fornecedor anti-spam.
Podemos usar um que esteja disponivel gratuitamente.
Podemos criar um usando a documentação fornecida pelo Maltego
Podemos comprar diretamente de um fornecedor.
São conjuntos (grupos) de transforms que automatizam algumas tarefas repetitivas, como consultas recursivas.
Como chama a função do Matego que automatiza atividades que normalmente teriam que ser realizadas manualmente. Como exemplo temos o
footprint de infraestruturaque busca várias informações a partir de um domínio.
Como funciona o mapeamento de organizações utilizando o Maltego?
Explicação:
Não é possivel inserir transforms no Maltego usando base64.
 
 
6.
Collaboration
Collections
Transforms
Entities
Machines
Explicação:
.
 
 
7.
Fingerprint
RunDown
Machines
AutoSearch
AutoMaltego
Explicação:
A ferramenta Maltego oferece uma opção chamada Machines (máquinas) que é um conjunto de ações consecutivas que automatiza uma serie de
atividades que normalmente teriam que ser realizadas manualmente. Como exemplo temos o footprint de infraestrutura que busca várias informações a
partir de um domínio.
 
 
8.
Ele busca todos os IPs, Blocos de IPs e Subdominios da organização
Ele realiza um pentest no dominio da empresa
Ele correlaciona o log do sistema
Ele acessa o servidor web da organização para identificar vulnerabilidades
Ele realiza uma analise de trafego da organização.
 
Feeds de IOC podem conter Hashes de malware, lista de IPs , Lista de URL , Lista de Dominios maliciosos por exemplo. Qual outra informação pode
conter em Feed de IOC?
Porque é importante entender a infraestrutura relacionada a um IOC?
INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Lupa Calc.
 
 
CCT0865_A6_201902368771_V1 
Aluno: LUAN DE SOUSA DOMINGUES Matr.: 201902368771
Disc.: INTELIG. AME.CIBER. 2020.3 EAD (GT) / EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será
composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de
questões que será usado na sua AV e AVS.
 
1.
Regras de IDS
Lista de Patches
Lista de versões de firmware de firewall
Versoes de Sistema Operacional
Nenhuma outra informação esta presente em feeds de IOC
Explicação:
Regras de IDS é um outro tipo de feed que existe, para que fique facil para empresas implementarem regras para detectar trafego malicioso.
 
 
2.
Porque a infrastrutura pode conter IPs de outros paises
Entender a infrastrutura de um IOC não é importante
Porque a infrastruturta pode tambem estar sendo usada para fins legitimos 
Porque a infrastrutura pode não ser maliciosa
javascript:voltar();
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:calculadora_on();
Ao realizar uma busca por um IOC no VirusTotal, o analista recebeu o seguinte resultado:
./virusgotal url www.olx.com.br
www.olx.com.br scan results:
VirusTotal link:
https://www.virustotal.com/url/2cc58e3243541f95e312c9
e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 0/71
Esse resultado nos mostra que:
Quais as principais formas de se conseguir fontes de IOCs?
De acordo com output do script VirusGotal abaixo:
./virusgotal url www.malwareishere.com.br
Porque a infrastrutura pode armazenar diferentes logs
Explicação:
A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras organizações, se o IP é utiulizado para outra
função, etc...tudo isso contribui para a analise.
 
 
3.
Nenhuma das alternativas.
O site OLX não foi detectado como malicioso por nenhum programa de antivírus.
O site OLX está infectado com 71 vírus.
O site OLX foi detectado como malicioso por 71 programas de antivírus.
A e B.
Explicação:
O output da ferramenta mostra 0/71, ou seja, 0 (nenhum) antivírus dentre os 71 antivírus disponíveis no VirusTotal detectou o site como malicioso.
 
 
4.
Através de buscadores web
Através de logs do wireshark
Através de Empresas de Segurança, Fontes Open Source e Honeypots próprios.
Através de conferencias de segurança
Através de Artigos na internet
Explicação:
Existem 3 formas principais de se conseguir estas fontes/feeds, através de uma empresa de segurança de informações, através de fontes open source,
através de honeypots próprios.
 
 
5.
www.malwareishere.com.br scan results:
VirusTotal link:
https://www.virustotal.com/url/2cc58e3243541f95e312c9e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 50/61
 
Mostra que:
Porque a idade de um IOC é importante?
Porque um contexto é importante quando se avalia um IOC?
O site VirusTotal nao detectou o site malwareishere como malicioso.
O site malwareishere foi detectado como malicioso por 61 programas de anti-virus.
O site malwareishere está infectado com 50 virus
O site malwareishere está infectado com 61 virus
O site malwareishere foi detectado como malicioso por 50 programas de anti-virus
Explicação:
VirusTotal detectou o site malwareishere como malicioso por 50 de um total de 61 programas de anti-virus.
 
 
6.
Idade do IOC não é importante para uma analise
Todos IOCs devem ter a mesma idade.
Porque IOCs mais antigos tem mais credibilidade
Para colocar mais detalhes no relatorio
Para poder realizar uma analise com o contexto correto
Explicação:
A idade de um IOC é fundamental para se assinalar um nível de prioridade ou criticidade a algum evento.
 
 
7.
Para criação de regras de IDS
Nenhuma das alternativas está correta.
Para evitar falso positivos em analises
Para melhor organização dos logs.
Para facilitar a busca em base de dados
Explicação:
O contexto em um IOC é extremamente importante para se evitar falso positivos durante a fase de analises.
São funções de um TIP:
São exemplos de Plataformas de Inteligencia contra Ameaças, exceto:
Como funções de um TIP podemos citar:
1.
Generate alerts based on events in the network.
Pentest da infrastrutura da organização
Collect and store the logs.
Coleta de IOCs, Analise e Compartilhamento e Disseminação de Threat Intelligence
Aplicação de patches de segurança nos sistemas
 
 
 
Explicação:
As funções principais de um TIP são Coleta, Análise, Compartilhamento / Disseminação de Threat Intelligence.
 
 
 
 
2.
MISP
ThreatConect
Maltego
AnomaliThreat
Opentip
 
 
 
Explicação:
A Maltego é uma ferramenta de análise e análise de links visuais e é o software mais famoso para a realização de Open Source Intelligence. Ele fornece uma biblioteca de plugins, denominados "transformações", que são usados para executar
consultas em fontes abertas, a fim de reunir informações sobre um determinado destino e exibi-los em um bom gráfico.
 
 
 
3.
Compartilhamento.
Análise.
Todas as alternativas.
Coleta.
Disseminação.
 
 
 
Explicação:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Um dos tipos abaixo não pode ser usado como busca em uma plataforma de TIP:
São ferramentas de SIEM (Gerenciamentos de Eventos e Informações e Segurança)?
MISP, OTX e ThreatConnect são exemplos de:
Uma plataforma de Threat Intelligence deve possibilitar ao analista de inteligência percorrer as diferentes fases do ciclo de vida do CTI. Deve possibilitar que ele a utilize para coleta de informações e IOCs, que ele faça uma análise dos eventos
e dos IOC, correlacionando-os com outros eventos. Deve, ainda, possibilitar que ele possa exportar os resultados para serem disseminados internamente e que, caso necessário, compartilhe as informações com outros grupos ou publicamente.
Todas as alternativas estão corretas e fazem parte das funções de um TIP.
 
 
 
4.
Versão de Patch
Hash
URL
Endereço IP
Dominio
 
 
 
Explicação:
Versão de Patch geralmente não é considerado um IOC e não pode ser buscado em uma plataforma de TIP
 
 
 
5.
Snort
IBM QRadar
Splunk
LogRhythm
ELK
 
 
 
Explicação:
Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes.
 
 
 
6.
Plataformas TIP (Threat Intelligence Platforms)
Sistemas de IPS
Sistemas de IDS
Firewalls
Formato de trocade arquivos
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Para que utilizamos o dashboard em um TIP?
Como exemplos de TIP podemos citar:
 
 
 
Explicação:
MISP, OTX e ThreatConnect são exemplos de plataformas TIP.
 
 
 
7.
Dashboard lista os antivirus mais acessados recentemente.
Dashboard possibilita a criação de regras de IDS em um TIP
Dashboard possibilita a criação de regras de firewall dentro de um TIP
Dashboard realizar a correlação de eventos de segurança
Dashboard é a tela principal de um TIP com informações de rapido acesso
 
 
 
Explicação:
O dashboard é a tela principal dentro de um TIP, onde fornece as principais informações de forma rapida para o analista.
 
 
 
8.
Cisco ASA, Checkpoint, Palo Alto Firewall
Linux, Windows e MacOSX
Snort, BRO, Suricata
ThreatConnect, MISP, AlienVault
AWS, Azure, GCP
 
 
 
Explicação:
Snort, Bro e Suricata são exemplos de IDS, Cisco Checkpoint e Palo Alto Firewall são exemplos de Firewall, e AWS, Azure e GCP são exemplos de provedores Cloud. 
 
 
 
 
 
 
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
javascript:abre_colabore('37230','210285329','4222093932');
Qual fase abaixo NÃO faz parte do modelo Cyber Kill Chain?
O que é o Curso de Ações para Cyber Kill Chain?
Quais as 7 fases de um Cyber Attack , segundo o modelo Cyber Kill Chain?
1.
Logging (Logar eventos)
Delivery (Entrega )
Weaponization ( Armamento)
Command & Control (Comando e Controle)
Exploitation (Exploração)
 
 
Explicação:
Logging não é uma fase do modelo Cyber Kill Chain.
 
2.
 Nenhuma das alternativas.
É a lista de ações a serem tomadas em caso de um ataque.
 É uma série de ações para garantir a monitoração do ambiente.
É o mapeamento de possíveis ferramentas para serem usadas em cada fase de um ataque, com diferentes objetivos.
É um playbook de como se responder a um incidente de segurança.
 
 
Explicação:
O Curso de Ações foi criado com o objetivo de ser uma matriz de ferramentas para ser mapeada com cada fase do Cyber Kill Chain, com cada ferramenta devendo influenciar no ataque de maneiras distintas, seja para detectar o ataque, seja para
pará-lo ou bloqueá-lo.
 
3.
Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives
Delivery, Weaponization, Exploitation, Installation, Reconnaissance, Command & Control, Actions on Objectives
Exploitation, Reconnaissance, Delivery, Weaponization, Installation, Command & Control, Actions on Objectives
Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives
Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Logging
 
 
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma ferramenta de Proxy entraria como qual categoria de Ferramenta?
O que é o Curso de Ações do Cyber Kill Chain?
Qual etapa do Modelo Cyber Kill Chain o atacante enviar o seu programa malicioso para o alvo. A forma mais utilizada costuma ser o spear-phishing, que é um vetor de ataque direcionado, ou seja, com alvos bem determinados.
Explicação:
As 7 fases são Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives
 
4.
Ferramenta para Enganar.
Nenhuma das anteriores.
 
Ferramenta de Atraso.
Ferramenta de Detecção.
Ferramenta de Interrupção de Ataques.
 
 
Explicação:
Nenhuma das anteriores. No caso da ferramenta de Proxy, ela entraria como uma Ferramenta para Bloqueio, pois muitas vezes o servidor remoto do Command & Control é conhecido como malicioso e o proxy já pode bloqueá-lo automaticamente.
Outro cenário é de um servidor remoto que está usando uma porta TCP pouco usada, como 9123, e o servidor proxy apenas permite portas 80 e 443.
 
5.
Um mapeamento de tipos de controles que podem ser empregados em cada fase do ataque com diferentes objetivos.
Um mapeamento de tipos de sistemas operacionais que podem ser empregados em cada fase do ataque com diferentes objetivos.
Um mapeamento de tipos de malware que pode ser usado em cada fase do ataque com diferentes objetivos.
Um mapeamento de tipos de ferramentas que podem ser empregados em cada fase do ataque com diferentes objetivos.
Um mapeamento de tipos de logs que podem ser recebidos em cada fase do ataque com diferentes objetivos.
 
 
Explicação:
O Curso de ações é um mapeamento de tipos de ferramentas que podem ser empregados em cada fase do ataque com diferentes objetivos
 
6.
Exploit
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Qual fase do modelo Cyber Kill Chail os atacantes começam a desenvolver seus ataques e as ferramentas que serão utilizadas. Podem tanto ser ferramentas criadas e desenvolvidas por eles mesmo quanto ferramentas compradas na deep web.
O que é o modelo Cyber Kill Chain?
Reconnaissance
Install
Delivery
Weaponization
 
 
Explicação:
Na Terceira fase, com base em informações obtidas na fase anterior, o atacante irá planejar e executar a entrega do ¿pacote¿ malicioso. Apesar de a forma mais comum utilizada pelos grupos de APT ainda ser o e-mail, outras formas podem ser
usadas também, como um pen-drive USB deixado perto da vítima.
 
7.
Actions on Objectives
Installation
Command & Control
Reconnaissance
Weaponization
 
 
Explicação:
Na segunda fase, com base em informações obtidas na fase de reconhecimento (Weaponization), o atacante vai escolher que tipo de ataque irá realizar, focando na infraestrutura descoberta na fase anterior. Ele, então, poderá criar um exploit ou
malware para ser entregue à vítima.
 
8.
O modelo Cyber Kill Chain descreve o formato que os logs devem ser enviados a um SIEM.
O modelo Cyber Kill Chain descreve como se realizar um pentest em uma organização
O modelo Cyber Kill Chain, descreve como uma empresa deve estruturar sua area de segurança
O modelo Cyber Kill Chain descreve as ferramentas que sao usadas durante um ataque
O modelo chamado Cyber Kill Chain foi criado para descrever as fases que um atacante executa para fazer o ataque a uma organização.
 
 
Explicação:
O modelo chamado Cyber Kill Chain foi criado para descrever as fases que um atacante executa para fazer o ataque a uma organização. Seguindo o modelo, cada ataque consiste em diversas fases, e que cada fase pode utilizar controles para barrar
o ataque.
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
A tecnica de Envio de dados via Command & Control (ID: T1041), segundo o ATT&CK Enterprise está associada a qual tatica?
O modelo ATT&CK está distribuido em 4 principais areas, sendo elas:
O que é o modelo MITRE ATT&CK?
Command & Control (Comando e Controle)
Exfiltration (Envio de dados para fora)
Discovery (Descoberta)
Credential Access (Acesso a credenciais)
Defense Evasion (Evitar a defesa)
 
 
Explicação:
A tecnica de Envio de dados via Command & Control (ID: T1041) se enquadra na tatica de Exfiltration dentro do framework ATT&CK Enterprise.
 
2.
Pre-ATT&CK, ATT&CK Enterprise, Mobile e Cloud
Cloud, Pen-Test, Pre-ATT&CK e ATT&CK Enterprise
ATT&CK Enterprise, Cloud, Pen-Test e Remediation
Cyber Kill Chain, Att&CK Enterprise, Mitre, Cloud
Firewalls, ATT&CK Enterprise, IDS e Cloud
 
 
Explicação:
O modelo Att&ck está distribuído em 4 principais áreas:
Pre-ATT&CK, ATT&CK Enterprise, Mobile e Cloud.
 
3.
É um framework de Pen-test
É um conjunto de técnicas de ataque
É um grupo hacker que realiza diferentes ataques a rede
É ummodelo que engloba diferentes taticas e técnicas utilizadas em um ataque
São regras de firewall que ajudam a prevenir um ataque
 
 
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
O que é MITRE ATT&CK?
Qual alternativa abaixo NÃO é um exemplo de tatica coberta no Pre-ATT&CK?
A ténica de "Spearphishing Attachment" faz parte de qual tatica da matriz do ATT&CK Enterprise?
Explicação:
O modelo MITRE ATT&CK é uma base de conhecimentos de diferentes táticas de ataque. Cada tática é então quebrada em diferentes técnicas que são utilizadas para se atingir o objetivo da tática utilizada.
 
4.
É um modelo com diferentes táticas e técnicas utilizadas em um ataque.
É um framework de Pen-test.
É um conjunto de técnicas de ataque.
Nenhuma das alternativas.
É um grupo hacker que realiza diferentes ataques a redes.
 
 
Explicação:
O MITRE ATT&CK é uma base de conhecimentos de diferentes táticas de ataque. Cada tática é, então, quebrada em diferentes técnicas, que são utilizadas para se atingir o objetivo da tática utilizada.
 
5.
Priority Definition (Definição de prioridade)
Build Capabilities (Desenvolvimento)
Adversary OpSec (Como o alvo se protege)
Execution (Execução)
Target Selection (Definição do Alvo)
 
 
Explicação:
Execução não faz parte das taticas cobertas pelo Pre-ATT&CK. Execução é uma das taticas cobertas pela matriz ATT&CK.
 
6.
Execution (Execução)
Exfiltration (Envio de dados para fora)
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Qual tática do Modelo Mitre ATT&CK o adversário está tentando se comunicar com sistemas comprometidos para controlá-los.
Qual a tática do Modelo Mitre ATT&CK o adversário está tentando manipular, interromper ou destruir seus sistemas e dados.
Lateral Movement (Movimentação lateral)
Collection (Busca de dados)
Initial Access (Acesso Inicial)
 
 
Explicação:
Spearphishing Attachment faz parte da tatica de Acesso Inicial, pois o atacante pode usar diferente técnicas para se obter um acesso inicial ao amviente, como um phishing com um arquivo malicioso anexado ao email, ou um phishing com um link
para um site com exploit.
 
7.
Execution
Discovery
Command and Control
Credential Access
Collection
 
 
Explicação:
Comando e controle consiste em técnicas que os adversários podem usar para se comunicar com sistemas sob seu controle em uma rede de vítimas. Os adversários geralmente tentam imitar o tráfego normal e esperado para evitar a detecção. Há
muitas maneiras pelas quais um adversário pode estabelecer comando e controle com vários níveis de furtividade, dependendo da estrutura da rede e das defesas da vítima.
 
8.
Initial Access
Discovery
Privilege Escalation
Execution
Impact
 
 
Explicação:
O impacto consiste em técnicas usadas pelos adversários para interromper a disponibilidade ou comprometer a integridade, manipulando os processos comerciais e operacionais. As técnicas usadas para o impacto podem incluir destruir ou adulterar
dados. Em alguns casos, os processos de negócios podem parecer bons, mas podem ter sido alterados para beneficiar os objetivos dos adversários. Essas técnicas podem ser usadas pelos adversários para cumprir seu objetivo final ou fornecer
cobertura para uma violação de confidencialidade.
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Porque é importante entendermos como funciona uma carteira bitcon e que informações podemos conseguir delas?
Exemplos comuns e recentes de chantagens online são:
Um email de chantagem online chegou a equipe de CTI. O email contem ameaça de ataque de DDoS pelo grupo SuperX. O email contem um endereço bitcoin para pagamento. 
Das ações abaixo, qual NÃO é parte da responsabilidade da equipe de CTI?
1.
Porque as carteiras bitcoins podem revelar a localização das pessoas que fizeram depositos.
Porque as carteiras bitcoins guardam o endereço IP de quem fez o deposito
Porque as carteiras bitcoins podem revelar as transações de deposito e retirada associada a carteira.
Porque as carteiras bitcoins guardam os nomes e IPs dos depositantes
Porque as carteiras bitcoins podem nos revelar dados como nome e CPF do seu dono.
 
 
Explicação:
Uma busca pelo endereço Bitcoin pode nos revelar uma serie de informações, como as transações de entrada (deposito) e saída (retirada). Porem não revela nenhum nome, nem do dono nem de quem fez o deposito, e muito menos dados fiscais
como CPF.
 
2.
Ameaça de sequestro
Ameaça de denuncia caluniosa
Ameaça de bomba
Compliance e GRC
Sextortion e DDoS
 
 
Explicação:
Sextortion, no qual existe um email com ameaça de revelar fotos intimas , que pode ser legitimo ou um golpe, e ameaça de ataques de DDoS são dois exemplos de chantagens online comuns.
 
3.
Buscar informações sobre o tipo de trafego usado por ataques do grupo SuperX
Buscar informações sobre o grupo SuperX
Buscar informções sobre a carteira Bitcoin
Busca por mais informações nos endereços de email.
Realização de pagamento usando Bitcoin
 
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
O termo Sextortion se refere a:
Quando da chegada de um email de chantagem com topico de DDoS com pedido de pagamento por bitcoin, qual ação NÃO deve ser tomada pela equipe de CTI?
WannaCry, o ransomware que fez o mundo chorar na sexta-feira [12 de maio de 2017].
O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme, paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos outros, afetando principalmente a
Europa no começo do dia.
Disponível em Acesso em jan. 2018.
 
Explicação:
Não é função da equipe de CTI realizar pagamentos de Bitcoin. Todas as outras ações são de responsabilidade da equipe de CTI.
 
4.
Uma chantagem online de cunho sexual contra a vitima, utilizando-se de engenharia social para assustar a vitima.
Busca por conteudo adulto em forums da internet
Um tipo de ataque utilizando vulnerabilidades 0day.
Ataques contra sites com conteudo adulto
Golpe na internet utilizando sites que hospedam conteudo adulto.
 
 
Explicação:
O termo Sextortion define uma categoria de ataque com chantagem sexual contra a vítima. A chantagem pode ser real ou um golpe.
 
5.
Utiliação de sites como HaveIbeen0wned para verificar se o email recipiente consta em alguma base de dados que foi exposta.
Utilização de um TIP para busca de mais informações sobre a ameça.
Determinar a credibilidade da ameaça com base em informações coletadas pelos TIP e open source.
Utilização de uma ferramenta como Maltego ou mesmo Web para busca de informações sobre a carteira Bitcoin.
Responder o email para o atacante para pedir negociar.
 
 
Explicação:
Não é função da equipe de CTI negociar com atacantes que fazem a chantagem.
 
6.
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Considerando ataques de segurança do tipo Ransomware, analise as asserções a seguir.
I. Ransomware é um tipo de código malicioso que sequestra os dados do usuário armazenados em um equipamento conectado à Internet, removendo seus dados para a nuvem sob domínio do sequestrador, e então é exigido pagamento de resgate
(ransom) para devolver os dados para o equipamento do usuário e restabelecer o seu acesso.
II. A infecção pelo Ransomware pode ocorrer e se propagar de diferentes maneiras, podendo ocorrer por meio de anexo de e-mails ou hiperlinks que direcionam o usuário para o código malicioso.
III. O Ransomware/Locker facilita o acesso do usuário aos arquivos infectados e o Ransomware/Crypto descompacta os arquivose bloqueia o acesso aos dados armazenados no computador infectado.
IV. O usuário deve manter o sistema operacional e os programas instalados atualizados no seu computador, para evitar infecção pelo Ransomware, ter um antivírus instalado, atualizado, e ser cauteloso ao clicar em links ou abrir arquivos.
Sobre a infecção por Ransomware assinale a alternativa que apresenta as afirmações corretas.
Que informação o site Have I been pwned revela sobre um endereço de e-mail:
II e III.
II e IV.
III e IV.
I e II.
I e III.
 
 
Explicação:
A variedade locker-ransomware costuma ser menos complexa, mas essa característica não indica que ela é, necessariamente, mais fácil de mitigar. Nela, em vez de um conjunto de dados importantes ser criptografado, o acesso do usuário ao
dispositivo ou sistema é bloqueado.
Grosso modo, é como se o locker-ransomware passasse um cadeado em uma porta ou trocasse a fechadura dela. A vítima é então submetida a algum tipo de extorsão para ter seu acesso restabelecido.
O bloqueio pode ser feito de diversas maneiras. As mais comuns envolvem mudanças de senha (por meio da exploração de uma vulnerabilidade de software, por exemplo) ou a exibição de uma tela que impede o acesso aos campos de login.
É possível que um único ransomware execute ações de locker-ransomware e crypto-ransomware ao mesmo tempo.
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e
dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima
recuperar os arquivos afetados.
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e concordar em fazer
pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta
(documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro).
FONTE: https://www.infowester.com/ransomware.php#locker
 
7.
Opções A e C.
Se o endereço está presente em uma base de dados que foi comprometida e vazada.
Qual senha foi comprometida.
Em qual base de dados ele foi vazado.
Se o e-mail tem uma senha forte.
 
 
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Devemos evitar a reutilização da mesma senha em diferentes sites?
Explicação:
A ferramenta maltego, ou a versão web do site Have I been pwned permite que se use um endereço e-mail como ponto de entrada para que ele possa revelar se o endereço de e-mail encontra-se em uma base de dados de uma empresa que foi
comprometida e vazada, e ainda revela o nome da empresa. Isso ajuda para que o usuário possa trocar sua senha em todos os outros sites em que ele possivelmente tenha usado a mesma senha.
 
8.
Não, pois os sites garantem a segurança das senhas.
Não, a reutilização de senhas não expõe o usuário a novos ataques
Sim, pois se um site é comprometido e tem seus dados vazados pode expor a vitima a ter suas contas invadidas em outros sites
Não, reutilizar a senha torna mais fácil entrar nos sites sem esquecer a mesma
Sim, pois as senhas devem conter dados como dia do nascimento ou cpf que são dados pessoais
 
 
Explicação:
A reutilização de senhas deve ser evitada sempre que possível, pois se uma base de dados é comprometida e vazada, ela poderá possibilitar que outras pessoas testem a mesma combinação de usuário/senha e vários outros sites, conseguindo
acesso a conta do usuário.
https://simulado.estacio.br/bdq_simulados_exercicio.asp#