Prévia do material em texto
Em uma busca por IOCs, foi fornecido o trafego a seguir. No trafego abaixo, qual URL está sendo acessada? GET /fotos/238105.jpg HTTP/1.1 Host: arquivos.tribunadonorte.com.br Connection: keep-alive User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 Accept: image/webp,image/apng,image/*,*/*;q=0.8 Referer: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9 /fotos/238105.jpg HTTP/1.1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478 arquivos.tribunadonorte.com.br/fotos/238105.jpg Nenhuma alternativa está correta Explicação: O URL que está sendo acessada é o arquivos.tribunadonorte.com.br/fotos/238105.jpg 2. Um site de comercio eletrônico em Minas Gerais começou a perceber tráfego constante para um endereço IP da China. Esse evento pode ser considerado um IOC? A e C. Sim, merece ser reportado como IOC para verificar se há necessidade desse tráfego. Não, tráfego para outros países é comum no comércio eletrônico. Nenhuma das Anteriores. Sim, pois não há razão para um tráfego do site em direção à China. Explicação: Resposta correta: letra D. Caso um site, cujo público é regional, começar a receber uma quantidade constante de tráfego de outro país como China, deverá analisar seus logs para entender o motivo. 3. Um exemplo de um indicador de compromisso é: Todas as alternativas estão corretas Um endereço tipo URL Um dominio Endereço IP Um hash md5 de um arquivo executavel Explicação: Todos os exemplos citados, IP, URL, Dominio e URL são exemplos de IOCs, que podem ser usados para deteção de atividade maliciosa. 4. O hash SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e pode ser considerado: Indicador de compromisso nominal Indicador de compromisso por comportamento Indicador de compromisso regional Indicador de compromisso asssimetrico Indicador de compromisso global Explicação: O hash , seja ele MD5, SHA-1, SHA-256 ou outros, é considerado um Indicadore de Compromisso Nominal. 5. O objetivo de inserir caracteres extras em URLs ou IPs, como: hxxp://www.linux[.]com visa: Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS. Deixar o link em negrito. Facilitar a busca nos logs com ferramentas como grep. Confundir o analista que receberá as informações. Evitar um click acidental no link. Explicação: Resposta correta: letra B. Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver compartilhando este IOC. 6. Uma análise recebida de um sistema Sandbox mostrou o seguinte tráfego de rede: Requisição: GET / HTTP/1.1 Resposta: HTTP/1.1 400 Bad Request Date: Tue, 30 Jul 2019 00:06:53 GMT Server: Apache Content-Length: 293 Connection: close Content-Type: text/html; charset=iso-8859-1 Sobre o tráfego de rede acima podemos a: Não há IOCs que possam ser usados. Trata-se de um bom IOC, pois não possui User-Agent. B e C. É um tráfego normal de HTTP. O melhor IOC é o servidor Apache. Explicação: Resposta correta: letra A. De acordo com a RFC 2616, o campo User-Agent deve ser incluído no cabeçalho HTTP, mas não é obrigatório. Porém, todos os principais browsers (Internet Explorer, Safari, Chrome, Firefox, Opera) o utilizam. Algumas aplicações que usam API, ou bots, geralmente não utilizam.