INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS 2

Prévia do material em texto

Em uma busca por IOCs, foi fornecido o trafego a seguir. No trafego abaixo, qual URL está sendo acessada?
GET /fotos/238105.jpg HTTP/1.1
Host: arquivos.tribunadonorte.com.br
Connection: keep-alive
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36
Accept: image/webp,image/apng,image/*,*/*;q=0.8
Referer: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9
 
	
	
	
	/fotos/238105.jpg HTTP/1.1
	
	
	User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36
	
	
	http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478
	
	
	arquivos.tribunadonorte.com.br/fotos/238105.jpg
	
	
	Nenhuma alternativa está correta
	
Explicação:
O URL que está sendo acessada é o arquivos.tribunadonorte.com.br/fotos/238105.jpg
	
	
	
	 
		
	
		2.
		Um site de comercio eletrônico em Minas Gerais começou a perceber tráfego constante para um endereço IP da China. Esse evento pode ser considerado um IOC?
	
	
	
	A e C.
	
	
	Sim, merece ser reportado como IOC para verificar se há necessidade desse tráfego.
	
	
	Não, tráfego para outros países é comum no comércio eletrônico.
	
	
	Nenhuma das Anteriores.
	
	
	Sim, pois não há razão para um tráfego do site em direção à China.
	
Explicação:
Resposta correta: letra D.
Caso um site, cujo público é regional, começar a receber uma quantidade constante de tráfego de outro país como China, deverá analisar seus logs para entender o motivo.
	
	
	
	 
		
	
		3.
		Um exemplo de um indicador de compromisso é:
	
	
	
	Todas as alternativas estão corretas
	
	
	Um endereço tipo URL
	
	
	Um dominio
	
	
	Endereço IP
	
	
	Um hash md5 de um arquivo executavel
	
Explicação:
Todos os exemplos citados, IP, URL, Dominio e URL são exemplos de IOCs, que podem ser usados para deteção de atividade maliciosa.
	
	
	
	 
		
	
		4.
		O hash  SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e pode ser considerado:
	
	
	
	Indicador de compromisso nominal
	
	
	Indicador de compromisso por comportamento
	
	
	Indicador de compromisso regional
	
	
	Indicador de compromisso asssimetrico
	
	
	Indicador de compromisso global
	
Explicação:
O hash , seja ele MD5, SHA-1, SHA-256 ou outros, é considerado um Indicadore de Compromisso Nominal.
	
	
	
	 
		
	
		5.
		O objetivo de inserir caracteres extras em URLs ou IPs, como:
hxxp://www.linux[.]com visa:
	
	
	
	Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS.
	
	
	Deixar o link em negrito.
	
	
	Facilitar a busca nos logs com ferramentas como grep.
	
	
	Confundir o analista que receberá as informações.
	
	
	Evitar um click acidental no link.
	
Explicação:
Resposta correta: letra B.
Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver compartilhando este IOC.
	
	
	
	 
		
	
		6.
		Uma análise recebida de um sistema Sandbox mostrou o seguinte tráfego de rede:
Requisição:
GET / HTTP/1.1
Resposta:
HTTP/1.1 400 Bad Request
Date: Tue, 30 Jul 2019 00:06:53 GMT
Server: Apache
Content-Length: 293
Connection: close
Content-Type: text/html; charset=iso-8859-1
Sobre o tráfego de rede acima podemos a:
	
	
	
	Não há IOCs que possam ser usados.
	
	
	Trata-se de um bom IOC, pois não possui User-Agent.
	
	
	B e C.
	
	
	É um tráfego normal de HTTP.
	
	
	O melhor IOC é o servidor Apache.
	
Explicação:
Resposta correta: letra A.
De acordo com a RFC 2616, o campo User-Agent deve ser incluído no cabeçalho HTTP, mas não é obrigatório. Porém, todos os principais browsers (Internet Explorer, Safari, Chrome, Firefox, Opera) o utilizam. Algumas aplicações que usam API, ou bots, geralmente não utilizam.