Baixe o app para aproveitar ainda mais
Prévia do material em texto
f=I INTELIGENCIA DE AMEAÇAS CIBERNÉTICAS � Lupa C11k. Praado (a)Aluno(a), Você far:i 1,gof'il seu TESTE OE ÇQNHEÇJMENJQ! L41mbre·se que este exercício l! opcional, mH nio valerli ponto paf'il sua avaliaçio. O mesmo s,er:i composto da quHtões d• múltipla ascolha. A;,ôs ruponde e.da quutio, você teri acesso ao gabuito comanbido a/ou ii o,xplicaçio da m.,sma. Aproveite paf'il H familiuinr com Hte modelo de questões que será Yt.ado na sua AV e AVS. li Os cabaçalhos do protocolo HT'Tl' possibilita,m qua o cliente {usualmanla um nav�ador w•b} • o sarvidor (o servidor ramoto wab) poss;om trocar informaçêes•dicioru,is como, Q Qu11l o tipo do navegador. QSe a ?iÍginanio folencontr•da. QSa a tr;1nu,çiofoifait. com sucesso . ., @TodauopçÕH. Q Sa axiste um radirecionamento pua outro •nd•r•ço. Explicaçjo: ResposU. corn:U.:letr-aE. O cabaç1lho do protocolo HTTP fiz p1rt• das trocas de IT>4!nHç•m •ntr• um cli4,nt• • o Htvidor. ES. possibilita qu• o cli4!nt• H comporu d• c•rtil m•n•ir• d• ,icordo com " respo1U. r•c•bida p,,lo ••rvidor, pocluwlo mollr-ar uma men1ag•m de erro para o usuário quando a plÍgina nio estlÍ mais no servidor ou o usuírio digitou a resposta incorabo, pode possibilitu qu• o Hrvidor mostre o srte especifico pua um celular dependendo d• inform.1,çào do UHr•Aç•nt, ou IT>4!smo redi recionar o usu;irio para outro site. Estes sio 11,;uns exemplos do poten.ci;,I das inform;,çÕ•s contidas no cab•çalho HTTP . ., @Todasnalternativas estio correbos. Q lnformaçÕ•s sobre arquivos cri1dos nosistema pelo execut1ve1anali11do Q l nformaçõ.s 1ob,.. end•••ços IP que o •xecuU.11el t•ntou H con.ctar Q lnformaçÕ•• sobr• dominios qu• o •x•cutav•I t•ntou resolvu via ONS. Q Informações sobr• chaves d• r•gistro (Register Keys) crlada1, •xcluidn ou modificadas p,,lo •xecutav•I. Explicaçjo: Um sistema Hndbox á capaz de capturar uma Hl'M de informações sob,.. as ações realindas por um arquivo •xecuU.v•l, como ev•ntos de ,..d• (como end•raçoslPs • dominios)• dehost como arquivos cri.1,dos,•xcluidos,e d• cl-.aves de r•çistro. ■ Um relatôrio gerado a partir de um sistema Sandbox mostrou o Hguinte resultado: G•neral a} POSTs fi!es to a v,ebservu A partir desse resultado, podemos entenderqu•: Q O servidor w•b remoto nio es!IÍ disponível. Q O art•fato realiza um download de algo que esti hosp.dado no Hrvidor web remoto. Q N•nhuma das alternativas est1Ícorr et1. Q O 1i1t•ma Sandbox •stlÍ ••alilando um ping no s•rvidor w•b r•moto • ., @ O art•iato po1ta infonnaçÕ•s para o .. rvidor web remoto. Explicaçjo: .Resposta correta:letraB. A resposta 8 é a cor reu., pois mostra o método utilizado em uma comunkaçào HTTP. Os m<l!todos GET • POST sio os ma;s comuns, sendo que o m<l!todo GET é utilizado para pagar dados • o método POST oi utilizado para •nvi,ir da<lo1 a um ••rvidor. ªEm um relatôrio deundbox,oquequer dizer a linl-.a aba<XO: "HKLM\SOFT\YARE\MICROSOFT\WINDOWS\CURREJflVERSION\RUN"; Kay: "SVVHOSr: Valu•: ""%ALLUSERSPROFILE�\Driv•n1\svvho1t.ue"") Q Nenhuma das alternativas estlÍcorreU,. Q Existl!umnovo drlver no1i1tl!ma,chamado1vvhost .•x• Q "HKI.J,I\SOFTWARE\MlCROSOFT\WltlDOWS\CUR RENTVERSION\RUN" oi uma chavl! d"' ragistro pua instllaçllo de drivus no sistema . ., @ O arquivo exKutlvl!l svvhost.DI! seri ex•cutado a cada vez qu• o sist•ma for iniciado. ExplicaçJo: A chave "HKLM\SOFTWARE\MICROSOFT\WINOOWS\CURRENTVERSION\RUN" indica ao sist•ma qul! arquivos dl!v•m ser inicializados acado1 11•: que o 1istema <•inicia. SWHOST oi um noml! parecido com o executav•I svchost ... x• do windov11. Muitas vezes 01 autoru d• malware t.ntlm criar nomu parecidosparapasnrdespen::ebido. li A part• abaixo faz part• de qual 1açio dl! um r•latorio d• um sist•ma Sandbox? hostAddress hostPort host?rotocol dom.1,inNam• domainCountry 1-.ostAsn flagçed 94,158.245[.)160 80 TCP ufuuí7774[.]pw Moldova Republic of 194.158.246(,]137 443 buninl-.computl!r{,]com Swltarland 195.171.92[.)116 80 TCP çeo.netsupportsofh.,are[.Jcom United Kinçdom Q Se<;ioArquivosCol•U.dos(ExtractedFiles) Q Nenhuma das alt•rnativas estlÍ corrl!ta ., @ SeçioAnalise de Rede(tletworicAnalysis) Q Seç,ioOetalhes do Arquivo(FileOelails) O Seçio StringsColeU.das(ExtractedStfings) ExplicaçJo: Estl! p•qu•r>0 ped;,ço dl! um r•latorio de um sist•ma 11ndbox faz part• da Hçio d• Networic Analysis. Quando p•çamos um relatorio e qu•remos ver dir•tam4!nte quais ho1ts que o malware estai lentando comunicar, podemos ir direto nesta s•çio, ond• vemos os !Ps e Domínios. li Em um resultado d• um sistema Sandbox para um artefato (um arquivo binairio •x•cutável) apare,..., que o binairio coloca uma côpia em um ioldu e modia saguint• chav• d• ragistro: "HKLM\SOFT\YARE\MICROSOFT\WINDOWS\CURREJflVERSION\RUN\", Oque·ssonos 'nd'ca? O Nenhuma das alternativas . ., @ Indica que o artefato utlÍ usando uma ticnic.a para ç;,rantir que •le HrlÍ iniciado toda vez que o Windo�a reiniciar. Qlndicaque a chav• d• r•gistrofoi corrompida. Q Jndic,iqu• o antivirus det•ctDu • apagou o arquivo do1ist•ma. Q lndic.. qu• o Windov,s copiou o arquivo para o folder HKI.J,I\SOFTWARE\MlCROSOFT\WINDOWS\CURRENTVERSION\RUN\ . Explicaçjo: Respona corret.1,: letr-aC. Esta chave d• re,;istroétlda pelosistema quandoel• estásendo iniciado para garantirqu• osexecutaiv•is r.t'erenciado1 IIÍpossam ser•xacutados toda vez que o sistema iniciar. O malware fazendo ino irlÍ ,;arantir que, mesmo que o processo se enc•rre, ele serlÍ iniciado novamente quando o sistema
Compartilhar