INTELIGÊNCIA DE AMEAÇAS CIBERNETICAS - EX - AULA 3

Prévia do material em texto

f=I INTELIGENCIA DE AMEAÇAS CIBERNÉTICAS 
� 
Lupa C11k. 
Praado (a)Aluno(a), 
Você far:i 1,gof'il seu TESTE OE ÇQNHEÇJMENJQ! L41mbre·se que este exercício l! opcional, mH nio valerli ponto paf'il sua avaliaçio. O mesmo s,er:i 
composto da quHtões d• múltipla ascolha. 
A;,ôs ruponde e.da quutio, você teri acesso ao gabuito comanbido a/ou ii o,xplicaçio da m.,sma. Aproveite paf'il H familiuinr com Hte modelo de 
questões que será Yt.ado na sua AV e AVS. 
li Os cabaçalhos do protocolo HT'Tl' possibilita,m qua o cliente {usualmanla um nav�ador w•b} • o sarvidor (o servidor ramoto wab) poss;om trocar 
informaçêes•dicioru,is como, 
Q Qu11l o tipo do navegador. 
QSe a ?iÍginanio folencontr•da. 
QSa a tr;1nu,çiofoifait. com sucesso . 
., @TodauopçÕH. 
Q Sa axiste um radirecionamento pua outro •nd•r•ço. 
Explicaçjo: 
ResposU. corn:U.:letr-aE. 
O cabaç1lho do protocolo HTTP fiz p1rt• das trocas de IT>4!nHç•m •ntr• um cli4,nt• • o Htvidor. ES. possibilita qu• o cli4!nt• H comporu d• c•rtil 
m•n•ir• d• ,icordo com " respo1U. r•c•bida p,,lo ••rvidor, pocluwlo mollr-ar uma men1ag•m de erro para o usuário quando a plÍgina nio estlÍ mais no 
servidor ou o usuírio digitou a resposta incorabo, pode possibilitu qu• o Hrvidor mostre o srte especifico pua um celular dependendo d• inform.1,çào do 
UHr•Aç•nt, ou IT>4!smo redi recionar o usu;irio para outro site. Estes sio 11,;uns exemplos do poten.ci;,I das inform;,çÕ•s contidas no cab•çalho HTTP . 
., @Todasnalternativas estio correbos. 
Q lnformaçÕ•s sobre arquivos cri1dos nosistema pelo execut1ve1anali11do 
Q l nformaçõ.s 1ob,.. end•••ços IP que o •xecuU.11el t•ntou H con.ctar 
Q lnformaçÕ•• sobr• dominios qu• o •x•cutav•I t•ntou resolvu via ONS. 
Q Informações sobr• chaves d• r•gistro (Register Keys) crlada1, •xcluidn ou modificadas p,,lo •xecutav•I. 
Explicaçjo: 
Um sistema Hndbox á capaz de capturar uma Hl'M de informações sob,.. as ações realindas por um arquivo •xecuU.v•l, como ev•ntos de ,..d• (como 
end•raçoslPs • dominios)• dehost como arquivos cri.1,dos,•xcluidos,e d• cl-.aves de r•çistro. 
■ Um relatôrio gerado a partir de um sistema Sandbox mostrou o Hguinte resultado: 
G•neral 
a} POSTs fi!es to a v,ebservu 
A partir desse resultado, podemos entenderqu•: 
Q O servidor w•b remoto nio es!IÍ disponível. 
Q O art•fato realiza um download de algo que esti hosp.dado no Hrvidor web remoto. 
Q N•nhuma das alternativas est1Ícorr et1. 
Q O 1i1t•ma Sandbox •stlÍ ••alilando um ping no s•rvidor w•b r•moto • 
., @ O art•iato po1ta infonnaçÕ•s para o .. rvidor web remoto. 
Explicaçjo: 
.Resposta correta:letraB. 
A resposta 8 é a cor reu., pois mostra o método utilizado em uma comunkaçào HTTP. Os m<l!todos GET • POST sio os ma;s comuns, sendo que o m<l!todo 
GET é utilizado para pagar dados • o método POST oi utilizado para •nvi,ir da<lo1 a um ••rvidor. 
ªEm um relatôrio deundbox,oquequer dizer a linl-.a aba<XO: 
"HKLM\SOFT\YARE\MICROSOFT\WINDOWS\CURREJflVERSION\RUN"; Kay: "SVVHOSr: Valu•: ""%ALLUSERSPROFILE�\Driv•n1\svvho1t.ue"") 
Q Nenhuma das alternativas estlÍcorreU,. 
Q Existl!umnovo drlver no1i1tl!ma,chamado1vvhost .•x• 
Q "HKI.J,I\SOFTWARE\MlCROSOFT\WltlDOWS\CUR RENTVERSION\RUN" oi uma chavl! d"' ragistro pua instllaçllo de drivus no sistema . 
., @ O arquivo exKutlvl!l svvhost.DI! seri ex•cutado a cada vez qu• o sist•ma for iniciado. 
ExplicaçJo: 
A chave "HKLM\SOFTWARE\MICROSOFT\WINOOWS\CURRENTVERSION\RUN" indica ao sist•ma qul! arquivos dl!v•m ser inicializados acado1 11•: que o 
1istema <•inicia. SWHOST oi um noml! parecido com o executav•I svchost ... x• do windov11. Muitas vezes 01 autoru d• malware t.ntlm criar nomu 
parecidosparapasnrdespen::ebido. 
li A part• abaixo faz part• de qual 1açio dl! um r•latorio d• um sist•ma Sandbox? 
hostAddress hostPort host?rotocol dom.1,inNam• domainCountry 1-.ostAsn flagçed 
94,158.245[.)160 80 TCP ufuuí7774[.]pw Moldova Republic of 
194.158.246(,]137 443 buninl-.computl!r{,]com Swltarland 
195.171.92[.)116 80 TCP çeo.netsupportsofh.,are[.Jcom United Kinçdom 
Q Se<;ioArquivosCol•U.dos(ExtractedFiles) 
Q Nenhuma das alt•rnativas estlÍ corrl!ta 
., @ SeçioAnalise de Rede(tletworicAnalysis) 
Q Seç,ioOetalhes do Arquivo(FileOelails) 
O Seçio StringsColeU.das(ExtractedStfings) 
ExplicaçJo: 
Estl! p•qu•r>0 ped;,ço dl! um r•latorio de um sist•ma 11ndbox faz part• da Hçio d• Networic Analysis. Quando p•çamos um relatorio e qu•remos ver 
dir•tam4!nte quais ho1ts que o malware estai lentando comunicar, podemos ir direto nesta s•çio, ond• vemos os !Ps e Domínios. 
li Em um resultado d• um sistema Sandbox para um artefato (um arquivo binairio •x•cutável) apare,..., que o binairio coloca 
uma côpia em um ioldu e modia saguint• chav• d• ragistro: 
"HKLM\SOFT\YARE\MICROSOFT\WINDOWS\CURREJflVERSION\RUN\", 
Oque·ssonos 'nd'ca? 
O Nenhuma das alternativas . 
., @ Indica que o artefato utlÍ usando uma ticnic.a para ç;,rantir que •le HrlÍ iniciado toda vez que o Windo�a reiniciar. 
Qlndicaque a chav• d• r•gistrofoi corrompida. 
Q Jndic,iqu• o antivirus det•ctDu • apagou o arquivo do1ist•ma. 
Q lndic.. qu• o Windov,s copiou o arquivo para o folder HKI.J,I\SOFTWARE\MlCROSOFT\WINDOWS\CURRENTVERSION\RUN\ . 
Explicaçjo: 
Respona corret.1,: letr-aC. 
Esta chave d• re,;istroétlda pelosistema quandoel• estásendo iniciado para garantirqu• osexecutaiv•is r.t'erenciado1 IIÍpossam ser•xacutados toda 
vez que o sistema iniciar. O malware fazendo ino irlÍ ,;arantir que, mesmo que o processo se enc•rre, ele serlÍ iniciado novamente quando o sistema