AV1 INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS

Prévia do material em texto

Acerto: 1,0 / 1,0
Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por:
Todas as anteriores
 Entender quais são os objetivos as serem cumpridos e qual a expectativa da área
'cliente'
Distribuir o produto gerado
Transformar as informações em inteligência
Realizar a coleta de informações
Respondido em 05/05/2021 17:57:11
Explicação:
Na fase de planejamento e requerimentos a área de CTI realiza a identificação
dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da
organização que irá receber o relatório criado pela área de CTI. Nesta fase
devemos entender o que o "cliente" espera receber da área de CTI.
Acerto: 1,0 / 1,0
O objetivo de inserir caracteres extras em URLs ou IPs, como:
hxxp://www.linux[.]com visa:
Deixar o link em negrito.
Facilitar a busca nos logs com ferramentas como grep.
Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS.
 Evitar um click acidental no link.
Confundir o analista que receberá as informações.
Respondido em 05/05/2021 17:58:11
Explicação:
Resposta correta: letra B.
Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar
um clique acidental quando estiver compartilhando este IOC.
Acerto: 1,0 / 1,0
Em um relatório de sandbox, o que quer dizer a linha abaixo:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value:
""%ALLUSERSPROFILE%\Drivers\svvhost.exe"")
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para
instalação de drivers no sistema.
 O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado.
Nenhuma das alternativas está correta.
Existe um novo driver no sistema, chamado svvhost.exe
Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema.
Respondido em 05/05/2021 17:58:54
 Questão1a
 Questão2a
 Questão3a
Explicação:
A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos
devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel
svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar
despercebido.
Acerto: 1,0 / 1,0
É um mecanismo de buscas que permite ao usuário encontrar tipos específicos de hosts (webcams, roteadores,
servidores, etc.) conectados à Internet, usando uma variedade de filtros.
Whireshark
Nmap
 Shodan
Nessus
Whois
Respondido em 05/05/2021 17:59:45
Explicação:
A função específica do SHODAN e realizar uma varredura por toda a rede mundial de computadores em busca de
equipamentos como: Roteadores, Switches, Servidores, Webcams, Celulares, Tablets, Telefones VOIP, em busca
de configurações padrões como senhas, enfim qualquer dispositivo que possibilita uma conexão com a internet e
que possua configurações padrões pode ser registrado pelo SHODAN.
Acerto: 1,0 / 1,0
Como podemos inserir novos Transforms no Maltego? Escolha a alternativa errada!
Podemos comprar diretamente de um fornecedor.
 Decodificando codigo fonte usando base64 e inserindo como texto.
Podemos usar um que esteja disponivel gratuitamente.
Podemos usar a API de algum produto que ja temos como de um fornecedor anti-spam.
Podemos criar um usando a documentação fornecida pelo Maltego
Respondido em 05/05/2021 18:03:58
Explicação:
Não é possivel inserir transforms no Maltego usando base64.
Acerto: 1,0 / 1,0
Porque é importante entender a infraestrutura relacionada a um IOC?
Entender a infrastrutura de um IOC não é importante
Porque a infrastrutura pode armazenar diferentes logs
Porque a infrastrutura pode não ser maliciosa
Porque a infrastrutura pode conter IPs de outros paises
 Questão4a
 Questão5a
 Questão6a
 Porque a infrastruturta pode tambem estar sendo usada para fins legitimos 
Respondido em 05/05/2021 18:05:27
Explicação:
A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras
organizações, se o IP é utiulizado para outra função, etc...tudo isso contribui para a analise.
Acerto: 1,0 / 1,0
São ferramentas de SIEM (Gerenciamentos de Eventos e Informações e Segurança)?
Splunk
ELK
IBM QRadar
LogRhythm
 Snort
Respondido em 05/05/2021 18:05:58
Explicação:
Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch,
capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes.
Acerto: 1,0 / 1,0
Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma ferramenta de Proxy
entraria como qual categoria de Ferramenta?
Ferramenta de Interrupção de Ataques.
 Nenhuma das anteriores.
 
Ferramenta de Atraso.
Ferramenta para Enganar.
Ferramenta de Detecção.
Respondido em 05/05/2021 18:06:32
Explicação:
Nenhuma das anteriores. No caso da ferramenta de Proxy, ela entraria como uma Ferramenta para Bloqueio, pois
muitas vezes o servidor remoto do Command & Control é conhecido como malicioso e o proxy já pode bloqueá-lo
automaticamente. Outro cenário é de um servidor remoto que está usando uma porta TCP pouco usada, como
9123, e o servidor proxy apenas permite portas 80 e 443.
Acerto: 1,0 / 1,0
O que é o modelo MITRE ATT&CK?
São regras de firewall que ajudam a prevenir um ataque
 Questão7a
 Questão8a
 Questão9a
É um conjunto de técnicas de ataque
 É um modelo que engloba diferentes taticas e técnicas utilizadas em um ataque
É um framework de Pen-test
É um grupo hacker que realiza diferentes ataques a rede
Respondido em 05/05/2021 18:07:42
Explicação:
O modelo MITRE ATT&CK é uma base de conhecimentos de diferentes táticas de ataque. Cada tática é então
quebrada em diferentes técnicas que são utilizadas para se atingir o objetivo da tática utilizada.
Acerto: 1,0 / 1,0
WannaCry, o ransomware que fez o mundo chorar na sexta-feira [12 de maio de 2017].
O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme,
paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos
outros, afetando principalmente a Europa no começo do dia.
Disponível em Acesso em jan. 2018.
Considerando ataques de segurança do tipo Ransomware, analise as asserções a seguir.
I. Ransomware é um tipo de código malicioso que sequestra os dados do usuário armazenados em um
equipamento conectado à Internet, removendo seus dados para a nuvem sob domínio do sequestrador, e então
é exigido pagamento de resgate (ransom) para devolver os dados para o equipamento do usuário e restabelecer
o seu acesso.
II. A infecção pelo Ransomware pode ocorrer e se propagar de diferentes maneiras, podendo ocorrer por meio
de anexo de e-mails ou hiperlinks que direcionam o usuário para o código malicioso.
III. O Ransomware/Locker facilita o acesso do usuário aos arquivos infectados e o Ransomware/Crypto
descompacta os arquivos e bloqueia o acesso aos dados armazenados no computador infectado.
IV. O usuário deve manter o sistema operacional e os programas instalados atualizados no seu computador, para
evitar infecção pelo Ransomware, ter um antivírus instalado, atualizado, e ser cauteloso ao clicar em links ou
abrir arquivos.
Sobre a infecção por Ransomware assinale a alternativa que apresenta as afirmações corretas.
III e IV.
II e III.
 II e IV.
I e III.
I e II.
Respondido em 05/05/2021 18:08:11
Explicação:
A variedade locker-ransomware costuma ser menos complexa, mas essa característica não indica que ela é,
necessariamente, mais fácil de mitigar. Nela, em vez de um conjunto de dados importantes ser criptografado, o
acesso do usuário ao dispositivo ou sistema é bloqueado.
Grosso modo, é como se o locker-ransomware passasse um cadeado em uma porta ou trocasse a fechadura dela.
A vítima é então submetida a algum tipo de extorsão para ter seu acesso restabelecido.
O bloqueio pode ser feito de diversasmaneiras. As mais comuns envolvem mudanças de senha (por meio da
exploração de uma vulnerabilidade de software, por exemplo) ou a exibição de uma tela que impede o acesso aos
campos de login.
É possível que um único ransomware execute ações de locker-ransomware e crypto-ransomware ao mesmo
tempo.
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam
nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de
computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente
para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no
ataque, fica muito difícil para a vítima recuperar os arquivos afetados.
 Questão10a
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema
operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e
concordar em fazer pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até
2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só
teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e
US$ 500 (outras moedas também foram usadas, como o euro).
FONTE: https://www.infowester.com/ransomware.php#locker