INTELIGÊNCIA DE AMEAÇAS CIBERNETICAS - EX - AULA 2

Prévia do material em texto

� ��::�
IGÊNCIA DE AMEAÇAS CIBERNÉTICAS 
��º 
Um.1 ilnáliu rKO'bicb d .. um sist .. mil Siindbox mostrou o n,;uint"' t:ráf"'90 d• r•d•: 
Requôs içào: 
GET / HTTP/1.1 
Resposta: 
HTTP/1.1 400 B1d Requnt 
Date: Tue, lO Jul 2019 00:06:53 GMT 
Server: Apache 
Content·Len,;th: 293 
Connection: close 
Cont•nt·Ty!)<l: turt/html; Chiln:•t•iso·8859·1 
Sobre o trâfego de rede acima podemos il: 
D é um tníf.go normill de KTTP. 
[!] ., Triltil·se de um bom IOC, pois nio possui User·Agent. 
D 8eC. 
D O melhor IOC é o servidor Apilche. 
O Não hâ IOCs que possam ser usados, 
Expliução, 
Respost.a correta: letra A. 
De acordo com .1 RFC 2616, o c ampo User·Agent deve ser incluido no cabeçalho HTTP, mas não é obrigatório. Porém, todos os 
princip.1is brownrs (lnt•rnl't Êxplorer, Silfari, Chrom•, Firefox, O pua} o utilinm. Al,;umH aplicaçÕl'S que unm API, ou bot:I, 
geralmente não utilizam. 
��º 
O obj•tivo de inurir Cilrildern illrlrils •m URL.,: ou IPs, como: 
hxxp://www.linux[.]com visa: 
O Confundir o an,1lista que receberá n inform,1ções. 
D facilitara busc.1nos logs comferra,n.,nt.1s como grep. 
D Oeixar o link em negrito. 
O facilitarque aURL/lP possa ser filtrada pelo sistema delOS. 
� -, Evitu um click .,cicf•ntill no link. 
Expliuçio: 
R•spost" corretai: l•tril B. 
Existem vári as vantagens em inserir caracteres extr.15 em uma URL ou lPs, se rodo que il mais evidente é evit.1r um clique .1cidental 
quando estiver compartilhando este lOC. 
��º 
Um sit• d• com•rcio •l•lrÕroic:o •m MinH Gu,1is com•çou .1 p•rc•b.r tnif•go constant• p"r1 um •ndu..ço IP d.1 Chin.1. En• 
evento pode ser considerado um IOC? 
O Sim, pois: nào há razão para um tráfego do site em direção à China. 
D tl•nhuma das Ant•rior•s. 
(!1-, A eC. 
D Sim, mer«e ser report.1do como IOC par.a verific.1r se há necessidade desse tráfego. 
D Não, trâfego para outros países é comum no comércio eletrônico. 
Explução: 
Resposta correta: letr,1 D, 
C.1so um sit•, c"jo público ,i r•gional, com•çu .1 r•c•bu uma quantid•d• corost.1nt• d• trlÍf•go d• outro p.1is como China, devulÍ 
analisar seus logs par.1entender o motivo. 
��º 
Em "ma busc;a por IOCs, foi forn•cido o tr1f•go ;a Hguir. No tr;af•i.o "baii:xo, qu1l URL •stlÍ -..ndo ilCHsad.1? 
GET /fotos/238105.jpg HTTP/1.1 
Host: arquivos.tribunadonorte.com.br 
Connection: keep·alive 
Usu·Ag•nt: Mo:rill•/5 .0 (M.1cintosh; Int•I Mac OS X 10_15_3) Appl•W•bKiV537.36 (KHTML, lik• G•cko)Chrome/81.0,4044,92 
S.1fari/5l7.36 
Accept: image/webp,image/.1png,image/*,*/*;q"'0.8 
Referer: http://www.tribunadonorte.com.br/noticia/n,1da·de·a·verme1hoa·no·ama·ric;a/477478 
Accept·Encoding: gzip, deflate 
Acc•pt·Llln,;u.19•: •n·US,•n;q�0.9 
Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9 
D http://www,tribunaidonort•.eom.br/notici;a/n.1d.1·d•·.1--v•rm•lhoai·no·.1m1·rkai/477478 
D Nenhuma altemativa estácorret.a 
0 /fotos/238105.jpg HTTP/1.1 
0 User·Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrofflil/81.Q.4044.92 S.1fari/537.l6 
[!]-, .1rquivos.tribunadonorte.com.br/fotos/238105.jpg 
Explic.,çio: 
O URL que estâ sendo acessada e o uq .. ivos.tribunadonorte.com.br/fotos/238105.jpg 
Qu,�o 
o hnh SHA-256: edeffb014889b4651cdbBe239dc60f3f95c5aOOc76926c6779cd72a6fcOBc98e pode ser 
considerado: 
O Indicador de compromisso regional 
D Indicador d• compromino global 
D Indicador de compromisso por comportamento 
� ., Indicador de compromisso nominal 
D Indicador de compromisso asssimetrico 
Explução: 
O hash, seja •le M05, SHA·l, Sl-iA·256 ou outros, é cons ider.,do um !ndicadore de Compromisso Nomin,11. 
�-�º 
Um exemplo de um indicador de compromisso é: 
�., Todas .1s att .. mativ1Sl!Stio corretas 
O Um hash md5 deurnarq.,ivo executav•I 
D Endere�o!P 
D Um endereço tipo URL 
O Um dominio 
Explicação, 
Todos os exemplos citildos, IP, URL, Domínio e URL são exemplos de IOCs, que podem ser i;udos p.1r.1 deteçio de 
atividademalic:iosa.