Baixe o app para aproveitar ainda mais
Prévia do material em texto
Acerto: 1,0 / 1,0 Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por: Todas as anteriores Entender quais são os objetivos as serem cumpridos e qual a expectativa da área 'cliente' Distribuir o produto gerado Transformar as informações em inteligência Realizar a coleta de informações Respondido em 05/05/2021 17:57:11 Explicação: Na fase de planejamento e requerimentos a área de CTI realiza a identificação dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da organização que irá receber o relatório criado pela área de CTI. Nesta fase devemos entender o que o "cliente" espera receber da área de CTI. Acerto: 1,0 / 1,0 O objetivo de inserir caracteres extras em URLs ou IPs, como: hxxp://www.linux[.]com visa: Deixar o link em negrito. Facilitar a busca nos logs com ferramentas como grep. Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS. Evitar um click acidental no link. Confundir o analista que receberá as informações. Respondido em 05/05/2021 17:58:11 Explicação: Resposta correta: letra B. Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver compartilhando este IOC. Acerto: 1,0 / 1,0 Em um relatório de sandbox, o que quer dizer a linha abaixo: "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value: ""%ALLUSERSPROFILE%\Drivers\svvhost.exe"") "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para instalação de drivers no sistema. O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado. Nenhuma das alternativas está correta. Existe um novo driver no sistema, chamado svvhost.exe Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema. Respondido em 05/05/2021 17:58:54 Questão1a Questão2a Questão3a Explicação: A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar despercebido. Acerto: 1,0 / 1,0 É um mecanismo de buscas que permite ao usuário encontrar tipos específicos de hosts (webcams, roteadores, servidores, etc.) conectados à Internet, usando uma variedade de filtros. Whireshark Nmap Shodan Nessus Whois Respondido em 05/05/2021 17:59:45 Explicação: A função específica do SHODAN e realizar uma varredura por toda a rede mundial de computadores em busca de equipamentos como: Roteadores, Switches, Servidores, Webcams, Celulares, Tablets, Telefones VOIP, em busca de configurações padrões como senhas, enfim qualquer dispositivo que possibilita uma conexão com a internet e que possua configurações padrões pode ser registrado pelo SHODAN. Acerto: 1,0 / 1,0 Como podemos inserir novos Transforms no Maltego? Escolha a alternativa errada! Podemos comprar diretamente de um fornecedor. Decodificando codigo fonte usando base64 e inserindo como texto. Podemos usar um que esteja disponivel gratuitamente. Podemos usar a API de algum produto que ja temos como de um fornecedor anti-spam. Podemos criar um usando a documentação fornecida pelo Maltego Respondido em 05/05/2021 18:03:58 Explicação: Não é possivel inserir transforms no Maltego usando base64. Acerto: 1,0 / 1,0 Porque é importante entender a infraestrutura relacionada a um IOC? Entender a infrastrutura de um IOC não é importante Porque a infrastrutura pode armazenar diferentes logs Porque a infrastrutura pode não ser maliciosa Porque a infrastrutura pode conter IPs de outros paises Questão4a Questão5a Questão6a Porque a infrastruturta pode tambem estar sendo usada para fins legitimos Respondido em 05/05/2021 18:05:27 Explicação: A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras organizações, se o IP é utiulizado para outra função, etc...tudo isso contribui para a analise. Acerto: 1,0 / 1,0 São ferramentas de SIEM (Gerenciamentos de Eventos e Informações e Segurança)? Splunk ELK IBM QRadar LogRhythm Snort Respondido em 05/05/2021 18:05:58 Explicação: Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes. Acerto: 1,0 / 1,0 Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma ferramenta de Proxy entraria como qual categoria de Ferramenta? Ferramenta de Interrupção de Ataques. Nenhuma das anteriores. Ferramenta de Atraso. Ferramenta para Enganar. Ferramenta de Detecção. Respondido em 05/05/2021 18:06:32 Explicação: Nenhuma das anteriores. No caso da ferramenta de Proxy, ela entraria como uma Ferramenta para Bloqueio, pois muitas vezes o servidor remoto do Command & Control é conhecido como malicioso e o proxy já pode bloqueá-lo automaticamente. Outro cenário é de um servidor remoto que está usando uma porta TCP pouco usada, como 9123, e o servidor proxy apenas permite portas 80 e 443. Acerto: 1,0 / 1,0 O que é o modelo MITRE ATT&CK? São regras de firewall que ajudam a prevenir um ataque Questão7a Questão8a Questão9a É um conjunto de técnicas de ataque É um modelo que engloba diferentes taticas e técnicas utilizadas em um ataque É um framework de Pen-test É um grupo hacker que realiza diferentes ataques a rede Respondido em 05/05/2021 18:07:42 Explicação: O modelo MITRE ATT&CK é uma base de conhecimentos de diferentes táticas de ataque. Cada tática é então quebrada em diferentes técnicas que são utilizadas para se atingir o objetivo da tática utilizada. Acerto: 1,0 / 1,0 WannaCry, o ransomware que fez o mundo chorar na sexta-feira [12 de maio de 2017]. O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme, paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos outros, afetando principalmente a Europa no começo do dia. Disponível em Acesso em jan. 2018. Considerando ataques de segurança do tipo Ransomware, analise as asserções a seguir. I. Ransomware é um tipo de código malicioso que sequestra os dados do usuário armazenados em um equipamento conectado à Internet, removendo seus dados para a nuvem sob domínio do sequestrador, e então é exigido pagamento de resgate (ransom) para devolver os dados para o equipamento do usuário e restabelecer o seu acesso. II. A infecção pelo Ransomware pode ocorrer e se propagar de diferentes maneiras, podendo ocorrer por meio de anexo de e-mails ou hiperlinks que direcionam o usuário para o código malicioso. III. O Ransomware/Locker facilita o acesso do usuário aos arquivos infectados e o Ransomware/Crypto descompacta os arquivos e bloqueia o acesso aos dados armazenados no computador infectado. IV. O usuário deve manter o sistema operacional e os programas instalados atualizados no seu computador, para evitar infecção pelo Ransomware, ter um antivírus instalado, atualizado, e ser cauteloso ao clicar em links ou abrir arquivos. Sobre a infecção por Ransomware assinale a alternativa que apresenta as afirmações corretas. III e IV. II e III. II e IV. I e III. I e II. Respondido em 05/05/2021 18:08:11 Explicação: A variedade locker-ransomware costuma ser menos complexa, mas essa característica não indica que ela é, necessariamente, mais fácil de mitigar. Nela, em vez de um conjunto de dados importantes ser criptografado, o acesso do usuário ao dispositivo ou sistema é bloqueado. Grosso modo, é como se o locker-ransomware passasse um cadeado em uma porta ou trocasse a fechadura dela. A vítima é então submetida a algum tipo de extorsão para ter seu acesso restabelecido. O bloqueio pode ser feito de diversasmaneiras. As mais comuns envolvem mudanças de senha (por meio da exploração de uma vulnerabilidade de software, por exemplo) ou a exibição de uma tela que impede o acesso aos campos de login. É possível que um único ransomware execute ações de locker-ransomware e crypto-ransomware ao mesmo tempo. Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados. Questão10a Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e concordar em fazer pagamento aumentam consideravelmente. Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro). FONTE: https://www.infowester.com/ransomware.php#locker
Compartilhar