teste INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS 3

Prévia do material em texto

Os cabeçalhos do protocolo HTTP possibilitam que o cliente (usualmente um navegador web) e o servidor (o servidor remoto web) possam trocar informações adicionais como:
 
	
	
	
	Qual o tipo do navegador.
	
	
	Se a transação foi feita com sucesso.
	
	
	Se existe um redirecionamento para outro endereço.
	
	
	Se a página não foi encontrada.
	
	
	Toda as opções.
	
Explicação:
Resposta correta: letra E.
O cabeçalho do protocolo HTTP faz parte das trocas de mensagem entre um cliente e o servidor. Ele possibilita que o cliente se comporte de certa maneira de acordo com a resposta recebida pelo servidor, podendo mostrar uma mensagem de erro para o usuário quando a página não está mais no servidor ou o usuário digitou a resposta incorreta, pode possibilitar que o servidor mostre o site específico para um celular dependendo da informação do User-Agent, ou mesmo redirecionar o usuário para outro site. Estes são alguns exemplos do potencial das informações contidas no cabeçalho HTTP.
	
	
	
	 
		
	
		2.
		A parte abaixo faz parte de qual seção de um relatorio de um sistema Sandbox?
hostAddress     hostPort        hostProtocol    domainName      domainCountry   hostAsn flagged
94.158.245[.]160  80      TCP     safuuf7774[.]pw   Moldova Republic of             0
194.158.246[.]137 443     TCP     bacninhcomputer[.]com     Switzerland             0
195.171.92[.]116  80      TCP     geo.netsupportsoftware[.]com      United Kingdom          0
 
	
	
	
	Seção Strings Coletadas (Extracted Strings)
	
	
	Seção Analise de Rede (Network Analysis)
	
	
	Seção Arquivos Coletados (Extracted Files)
	
	
	Nenhuma das alternativas está correta
	
	
	Seção Detalhes do Arquivo (File Details)
	
Explicação:
Este pequeno pedaço de um relatorio de um sistema sandbox faz parte da seção de Network Analysis. Quando pegamos um relatorio e queremos ver diretamente quais hosts que o malware está tentando comunicar, podemos ir direto nesta seção, onde vemos os IPs e Dominios.
	
	
	
	 
		
	
		3.
		Um relatório gerado a partir de um sistema Sandbox mostrou o seguinte resultado:
General
a) POSTs files to a webserver
A partir desse resultado, podemos entender que:
	
	
	
	O artefato realiza um download de algo que está hospedado no servidor web remoto.
	
	
	O servidor web remoto não está disponível.
	
	
	O sistema Sandbox está realizando um ping no servidor web remoto.
	
	
	O artefato posta informações para o servidor web remoto.
	
	
	Nenhuma das alternativas está correta.
	
Explicação:
.Resposta correta: letra B.
A resposta B é a correta, pois mostra o método utilizado em uma comunicação HTTP. Os métodos GET e POST são os mais comuns, sendo que o método GET é utilizado para pegar dados e o método POST é utilizado para enviar dados a um servidor.
	
	
	
	 
		
	
		4.
		Que informações são geralmente geradas em um sistema Sandbox?
	
	
	
	Informações sobre chaves de registro (Register Keys) criadas, excluidas ou modificadas pelo executavel.
	
	
	Informações sobre dominios que o executavel tentou resolver via DNS.
	
	
	Todas as alternativas estão corretas.
	
	
	Informações sobre arquivos criados no sistema pelo executavel analisado
	
	
	Informações sobre endereços IP que o executavel tentou se conectar
	
Explicação:
Um sistema sandbox é capaz de capturar uma serie de informações sobre as ações realizadas por um arquivo executavel, como eventos de rede (como endereços IPs e dominios) e de host como arquivos criados, excluidos, e de chaves de registro.
	
	
	
	 
		
	
		5.
		Em um relatório de sandbox, o que quer dizer a linha abaixo:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value: ""%ALLUSERSPROFILE%\Drivers\svvhost.exe"")
	
	
	
	O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado.
	
	
	"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para instalação de drivers no sistema.
	
	
	Nenhuma das alternativas está correta.
	
	
	Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema.
	
	
	Existe um novo driver no sistema, chamado svvhost.exe
	
Explicação:
A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar despercebido.
	
	
	
	 
		
	
		6.
		Em um resultado de um sistema Sandbox para um artefato (um arquivo binário executável) apareceu que o binário coloca
uma cópia em um folder e modia seguinte chave de registro:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" .
O que isso nos indica?
	
	
	
	Nenhuma das alternativas.
	
	
	Indica que o antivírus detectou e apagou o arquivo do sistema.
	
	
	Indica que a chave de registro foi corrompida.
	
	
	Indica que o artefato está usando uma técnica para garantir que ele será iniciado toda vez que o Windows reiniciar.
	
	
	Indica que o Windows copiou o arquivo para o folder HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ .
	
Explicação:
Resposta correta: letra C.
Esta chave de registro é lida pelo sistema quando ele está sendo iniciado para garantir que os executáveis referenciados lá possam ser executados toda vez que o sistema iniciar. O malware fazendo isso irá garantir que, mesmo que o processo se encerre, ele será iniciado novamente quando o sistema reiniciar.