Baixe o app para aproveitar ainda mais
Prévia do material em texto
Teste de Conhecimento avalie sua aprendizagem O objetivo de inserir caracteres extras em URLs ou IPs, como: hxxp://www.linux[.]com visa: Em uma busca por IOCs, foi fornecido o trafego a seguir. No trafego abaixo, qual URL está sendo acessada? GET /fotos/238105.jpg HTTP/1.1 Host: arquivos.tribunadonorte.com.br Connection: keep-alive User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 Accept: image/webp,image/apng,image/*,*/*;q=0.8 Referer: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9 INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS Lupa Calc. CCT0865_A2_202001123504_V1 Aluno: HELISIANE CRISTINA RIBEIRO Matr.: 202001123504 Disc.: INTELIG. AME.CIBER. 2021.1 EAD (GT) / EX Prezado (a) Aluno(a), Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha. Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS. 1. Confundir o analista que receberá as informações. Deixar o link em negrito. Facilitar a busca nos logs com ferramentas como grep. Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS. Evitar um click acidental no link. Explicação: Resposta correta: letra B. Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver compartilhando este IOC. 2. /fotos/238105.jpg HTTP/1.1 Nenhuma alternativa está correta javascript:voltar(); javascript:voltar(); javascript:diminui(); javascript:aumenta(); javascript:calculadora_on(); Um site de comercio eletrônico em Minas Gerais começou a perceber tráfego constante para um endereço IP da China. Esse evento pode ser considerado um IOC? Um exemplo de um indicador de compromisso é: O hash SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e pode ser considerado: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 arquivos.tribunadonorte.com.br/fotos/238105.jpg Explicação: O URL que está sendo acessada é o arquivos.tribunadonorte.com.br/fotos/238105.jpg 3. Sim, pois não há razão para um tráfego do site em direção à China. A e C. Sim, merece ser reportado como IOC para verificar se há necessidade desse tráfego. Não, tráfego para outros países é comum no comércio eletrônico. Nenhuma das Anteriores. Explicação: Resposta correta: letra D. Caso um site, cujo público é regional, começar a receber uma quantidade constante de tráfego de outro país como China, deverá analisar seus logs para entender o motivo. 4. Um endereço tipo URL Um dominio Endereço IP Todas as alternativas estão corretas Um hash md5 de um arquivo executavel Explicação: Todos os exemplos citados, IP, URL, Dominio e URL são exemplos de IOCs, que podem ser usados para deteção de atividade maliciosa. 5. Indicador de compromisso asssimetrico Indicador de compromisso nominal Indicador de compromisso por comportamento Indicador de compromisso regional Indicador de compromisso global Explicação: O hash , seja ele MD5, SHA-1, SHA-256 ou outros, é considerado um Indicadore de Compromisso Nominal. Uma análise recebida de um sistema Sandbox mostrou o seguinte tráfego de rede: Requisição: GET / HTTP/1.1 Resposta: HTTP/1.1 400 Bad Request Date: Tue, 30 Jul 2019 00:06:53 GMT Server: Apache Content-Length: 293 Connection: close Content-Type: text/html; charset=iso-8859-1 Sobre o tráfego de rede acima podemos a: 6. É um tráfego normal de HTTP. O melhor IOC é o servidor Apache. B e C. Não há IOCs que possam ser usados. Trata-se de um bom IOC, pois não possui User-Agent. Explicação: Resposta correta: letra A. De acordo com a RFC 2616, o campo User-Agent deve ser incluído no cabeçalho HTTP, mas não é obrigatório. Porém, todos os principais browsers (Internet Explorer, Safari, Chrome, Firefox, Opera) o utilizam. Algumas aplicações que usam API, ou bots, geralmente não utilizam. Não Respondida Não Gravada Gravada Exercício inciado em 08/04/2021 11:25:21. javascript:abre_colabore('34901','221453332','4470579035');
Compartilhar