INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS

Prévia do material em texto

INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS
Aula 1
	
		1
           Questão
	
	
	Podem ser considerados exemplos de fontes de informações:
		
	
	Blogs e Sites de Segurança de Informações
	
	Relatorios, Artigos e Whitepapers criados por empresas de segurança de informações
	 
	Todas as alternativas estao corretas
	
	Honeypots e seus logs gerados
	
	Ferramentas de Sandbox
	Respondido em 11/11/2020 11:59:31
	
Explicação:
Basicamente todo tipo de informação que pode ser encontrado livremente na internet é uma potencial fonte de informação. Como estamos falando de Segurança cibernética, exemplos comuns são Blogs voltados para segurança, relatórios e artigos de empresas de segurança, além de informações fornecidas por ferramentas como honeypots e sandbox.
	
	
	 
		2
           Questão
	
	
	Segundo a Europou e CISA (2005), são ameaças cibernéticas enfrentadas por uma organização, exeto:
		
	
	Hacktivista
	
	Crime organizado
	 
	OSINT
	
	Espionagem industrial
	
	Terrorismo
	Respondido em 11/11/2020 12:03:10
	
Explicação:
Open Source Intelligence (OSINT). É um modelo de inteligência que visa encontrar, selecionar e adquirir informações de fontes públicas e analisá-las para que junto com outras fontes possam produzir um conhecimento. Na comunidade de inteligência (IC), o termo "aberto" refere-se a fontes disponíveis publicamente.
	
	
	 
		3
           Questão
	
	
	Escolha a alternativa errada. Porque é fundamental entender os requisitos da area "cliente" dentro de uma organização, no referente a area de CTI?
		
	
	A area "cliente" possibilita a area de CTI criar produtos que sejam relevantes a ela
	 
	Porque a areá "cliente" é sempre uma area superior na hierarquia da empresa.
	
	A area "cliente" pode informar a area/equipe de CTI o melhor formato para receber as informações.
	
	A area "cliente" conhece seus problemas e sabe que tipo de informações podem ajuda-la.
	
	A area "cliente" pode informar a equipe/area de CTI que tipo de informações sao relevantes para a execução das suas funções.
	Respondido em 11/11/2020 12:02:10
	
Explicação:
A area cliente pode fazer parte de diferentes hierarquias dentro da organização, pode ser tanto uma area de chefia quanto uma area operacional.
	
	
	 
		4
           Questão
	
	
	Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por:
		
	
	Distribuir o produto gerado
	
	Realizar a coleta de informações
	
	Transformar as informações em inteligência
	
	Todas as anteriores
	 
	Entender quais são os objetivos as serem cumpridos e qual a expectativa da área 'cliente'
	Respondido em 11/11/2020 12:05:42
	
Explicação:
Na fase de planejamento e requerimentos a área de CTI realiza a identificação dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da organização que irá receber o relatório criado pela área de CTI. Nesta fase devemos entender o que o "cliente" espera receber da área de CTI.
	
	
	 
		5
           Questão
	
	
	Qual a função de uma area de Inteligencia em ameaças ciberneticas dentro de uma empresa/organização?
		
	
	Realizar testes de vulnerabilidade para a organização
	 
	Prover produtos que possibilitem a organização conhecimento sobre ameaças que possam afetar a segurança
	
	Criar mecanismos que possam garantir que a organização esteja em compliance com as diferentes normas do mercado.
	
	Prover resposta a incidentes para a organização em caso de ataque
	
	Monitorar os logs de segurança da organização, criados por ferramentas como Anti-virus.
	Respondido em 11/11/2020 12:04:36
	
Explicação:
A área de CTI tem como objetivo possibilitar que as outras áreas da organização tenham conhecimento sobre possíveis ameaças para que possam tomar as açoes necessárias para garantir a proteção da mesma.
	
	
	 
		6
           Questão
	
	
	Qual a ordem correta em que os analistas de CTI seguem durante o seu trabalho:
		
	
	1.Coleta e processamento de Informações > 2.Planejamento e Requerimentos > 3.Produção > 4.Disseminação > 5.Analise
	 
	1.Planejamento e Requerimentos > 2.Coleta e processamento de Informações > 3.Análise > 4.Produção > 5.Disseminação
	
	1.Produção > 2.Análise > 3.Disseminação > 4.Planejamento e Requerimentos > 5.Coleta e processamento de Informações
	
	1.Análise > 2.Coleta e processamento de Informações > 3.Produção > 4.Disseminação > 5.Planejamento e Requerimentos
	
	1.Disseminação > 2.Produção > 3.Análise > 4.Coleta e processamento de Informações > 5.Planejamento e Requerimentos
	Respondido em 11/11/2020 12:05:31
	
Explicação:
Planejamento e Requerimentos > Coleta e processamento de Informações > Análise > Produção > Disseminação
	
	
	
		1.
		Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por:
	
	
	
	Entender quais são os objetivos as serem cumpridos e qual a expectativa da área 'cliente'
	
	
	Transformar as informações em inteligência
	
	
	Realizar a coleta de informações
	
	
	Todas as anteriores
	
	
	Distribuir o produto gerado
	
Explicação:
Na fase de planejamento e requerimentos a área de CTI realiza a identificação dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da organização que irá receber o relatório criado pela área de CTI. Nesta fase devemos entender o que o "cliente" espera receber da área de CTI.
	
	
	
	 
		
	
		2.
		Escolha a alternativa errada. Porque é fundamental entender os requisitos da area "cliente" dentro de uma organização, no referente a area de CTI?
	
	
	
	Porque a areá "cliente" é sempre uma area superior na hierarquia da empresa.
	
	
	A area "cliente" possibilita a area de CTI criar produtos que sejam relevantes a ela
	
	
	A area "cliente" pode informar a equipe/area de CTI que tipo de informações sao relevantes para a execução das suas funções.
	
	
	A area "cliente" conhece seus problemas e sabe que tipo de informações podem ajuda-la.
	
	
	A area "cliente" pode informar a area/equipe de CTI o melhor formato para receber as informações.
	
Explicação:
A area cliente pode fazer parte de diferentes hierarquias dentro da organização, pode ser tanto uma area de chefia quanto uma area operacional.
	
	
	
	 
		
	
		3.
		Qual a ordem correta em que os analistas de CTI seguem durante o seu trabalho:
	
	
	
	1.Produção > 2.Análise > 3.Disseminação > 4.Planejamento e Requerimentos > 5.Coleta e processamento de Informações
	
	
	1.Planejamento e Requerimentos > 2.Coleta e processamento de Informações > 3.Análise > 4.Produção > 5.Disseminação
	
	
	1.Análise > 2.Coleta e processamento de Informações > 3.Produção > 4.Disseminação > 5.Planejamento e Requerimentos
	
	
	1.Disseminação > 2.Produção > 3.Análise > 4.Coleta e processamento de Informações > 5.Planejamento e Requerimentos
	
	
	1.Coleta e processamento de Informações > 2.Planejamento e Requerimentos > 3.Produção > 4.Disseminação > 5.Analise
	
Explicação:
Planejamento e Requerimentos > Coleta e processamento de Informações > Análise > Produção > Disseminação
	
	
	
	 
		
	
		4.
		Qual a função de uma area de Inteligencia em ameaças ciberneticas dentro de uma empresa/organização?
	
	
	
	Prover produtos que possibilitem a organização conhecimento sobre ameaças que possam afetar a segurança
	
	
	Criar mecanismos que possam garantir que a organização esteja em compliance com as diferentes normas do mercado.
	
	
	Realizar testes de vulnerabilidade para a organização
	
	
	Monitorar os logs de segurança da organização, criados por ferramentas como Anti-virus.
	
	
	Prover resposta a incidentes para a organização em caso de ataque
	
Explicação:
A área de CTI tem como objetivo possibilitar que as outras áreas da organização tenham conhecimento sobre possíveis ameaças para que possam tomar as açoes necessárias para garantir a proteção da mesma.
	
	
	
	 
		
	
		5.
		Segundo a Europou e CISA (2005),são ameaças cibernéticas enfrentadas por uma organização, exeto:
	
	
	
	OSINT
	
	
	Crime organizado
	
	
	Terrorismo
	
	
	Hacktivista
	
	
	Espionagem industrial
	
Explicação:
Open Source Intelligence (OSINT). É um modelo de inteligência que visa encontrar, selecionar e adquirir informações de fontes públicas e analisá-las para que junto com outras fontes possam produzir um conhecimento. Na comunidade de inteligência (IC), o termo "aberto" refere-se a fontes disponíveis publicamente.
	
	
	
	 
		
	
		6.
		Podem ser considerados exemplos de fontes de informações:
	
	
	
	Relatorios, Artigos e Whitepapers criados por empresas de segurança de informações
	
	
	Blogs e Sites de Segurança de Informações
	
	
	Honeypots e seus logs gerados
	
	
	Ferramentas de Sandbox
	
	
	Todas as alternativas estao corretas
	
Explicação:
Basicamente todo tipo de informação que pode ser encontrado livremente na internet é uma potencial fonte de informação. Como estamos falando de Segurança cibernética, exemplos comuns são Blogs voltados para segurança, relatórios e artigos de empresas de segurança, além de informações fornecidas por ferramentas como honeypots e sandbox.
Aula 2
	
		1
           Questão
	
	
	Um exemplo de um indicador de compromisso é:
		
	 
	Todas as alternativas estão corretas
	
	Endereço IP
	
	Um dominio
	
	Um endereço tipo URL
	
	Um hash md5 de um arquivo executavel
	Respondido em 21/11/2020 16:51:02
	
Explicação:
Todos os exemplos citados, IP, URL, Dominio e URL são exemplos de IOCs, que podem ser usados para deteção de atividade maliciosa.
	
	
	 
		2
           Questão
	
	
	Uma análise recebida de um sistema Sandbox mostrou o seguinte tráfego de rede:
Requisição:
GET / HTTP/1.1
Resposta:
HTTP/1.1 400 Bad Request
Date: Tue, 30 Jul 2019 00:06:53 GMT
Server: Apache
Content-Length: 293
Connection: close
Content-Type: text/html; charset=iso-8859-1
Sobre o tráfego de rede acima podemos a:
		
	
	Não há IOCs que possam ser usados.
	
	O melhor IOC é o servidor Apache.
	
	B e C.
	
	É um tráfego normal de HTTP.
	 
	Trata-se de um bom IOC, pois não possui User-Agent.
	Respondido em 21/11/2020 16:52:29
	
Explicação:
Resposta correta: letra A.
De acordo com a RFC 2616, o campo User-Agent deve ser incluído no cabeçalho HTTP, mas não é obrigatório. Porém, todos os principais browsers (Internet Explorer, Safari, Chrome, Firefox, Opera) o utilizam. Algumas aplicações que usam API, ou bots, geralmente não utilizam.
	
	
	 
		3
           Questão
	
	
	O objetivo de inserir caracteres extras em URLs ou IPs, como:
hxxp://www.linux[.]com visa:
		
	
	Facilitar a busca nos logs com ferramentas como grep.
	
	Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS.
	
	Confundir o analista que receberá as informações.
	 
	Evitar um click acidental no link.
	
	Deixar o link em negrito.
	Respondido em 21/11/2020 16:52:53
	
Explicação:
Resposta correta: letra B.
Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver compartilhando este IOC.
	
	
	 
		4
           Questão
	
	
	Um site de comercio eletrônico em Minas Gerais começou a perceber tráfego constante para um endereço IP da China. Esse evento pode ser considerado um IOC?
		
	
	Nenhuma das Anteriores.
	
	Sim, merece ser reportado como IOC para verificar se há necessidade desse tráfego.
	
	Não, tráfego para outros países é comum no comércio eletrônico.
	
	Sim, pois não há razão para um tráfego do site em direção à China.
	 
	A e C.
	Respondido em 21/11/2020 16:56:16
	
Explicação:
Resposta correta: letra D.
Caso um site, cujo público é regional, começar a receber uma quantidade constante de tráfego de outro país como China, deverá analisar seus logs para entender o motivo.
	
	
	 
		5
           Questão
	
	
	Em uma busca por IOCs, foi fornecido o trafego a seguir. No trafego abaixo, qual URL está sendo acessada?
GET /fotos/238105.jpg HTTP/1.1
Host: arquivos.tribunadonorte.com.br
Connection: keep-alive
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36
Accept: image/webp,image/apng,image/*,*/*;q=0.8
Referer: http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: shared_session_id=ap51c71upf7i7607uq67kimf9
 
		
	
	Nenhuma alternativa está correta
	 
	arquivos.tribunadonorte.com.br/fotos/238105.jpg
	
	http://www.tribunadonorte.com.br/noticia/nada-de-a-vermelhoa-no-ama-rica/477478
	
	/fotos/238105.jpg HTTP/1.1
	
	User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36
	Respondido em 21/11/2020 16:57:30
	
Explicação:
O URL que está sendo acessada é o arquivos.tribunadonorte.com.br/fotos/238105.jpg
	
	
	 
		6
           Questão
	
	
	O hash  SHA-256: edeffb014889b4651cdb8e239dc60f3f95c5a00c76926c6779cd72a6fc08c98e pode ser considerado:
		
	
	Indicador de compromisso global
	 
	Indicador de compromisso nominal
	
	Indicador de compromisso regional
	
	Indicador de compromisso por comportamento
	
	Indicador de compromisso asssimetrico
	Respondido em 21/11/2020 16:58:35
	
Explicação:
O hash , seja ele MD5, SHA-1, SHA-256 ou outros, é considerado um Indicadore de Compromisso Nominal.
Aula 3
	
		1
           Questão
	
	
	Em um resultado de um sistema Sandbox para um artefato (um arquivo binário executável) apareceu que o binário coloca
uma cópia em um folder e modia seguinte chave de registro:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\" .
O que isso nos indica?
		
	
	Indica que a chave de registro foi corrompida.
	 
	Indica que o artefato está usando uma técnica para garantir que ele será iniciado toda vez que o Windows reiniciar.
	
	Nenhuma das alternativas.
	
	Indica que o Windows copiou o arquivo para o folder HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ .
	
	Indica que o antivírus detectou e apagou o arquivo do sistema.
	Respondido em 25/01/2021 09:00:18
	
Explicação:
Resposta correta: letra C.
Esta chave de registro é lida pelo sistema quando ele está sendo iniciado para garantir que os executáveis referenciados lá possam ser executados toda vez que o sistema iniciar. O malware fazendo isso irá garantir que, mesmo que o processo se encerre, ele será iniciado novamente quando o sistema reiniciar.
	
	
	 
		2
           Questão
	
	
	Em um relatório de sandbox, o que quer dizer a linha abaixo:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value: ""%ALLUSERSPROFILE%\Drivers\svvhost.exe"")
		
	
	"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para instalação de drivers no sistema.
	
	Existe um novo driver no sistema, chamado svvhost.exe
	 
	O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado.
	
	Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema.
	
	Nenhuma das alternativas está correta.
	Respondido em 25/01/2021 09:00:59
	
Explicação:
A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar despercebido.
	
	
	 
		3
           Questão
	
	
	A parte abaixo faz parte de qual seção de um relatorio de um sistema Sandbox?
hostAddress     hostPort        hostProtocol    domainName      domainCountry   hostAsn flagged
94.158.245[.]160  80      TCP     safuuf7774[.]pw   Moldova Republic of             0
194.158.246[.]137 443     TCP     bacninhcomputer[.]com     Switzerland             0
195.171.92[.]116  80TCP     geo.netsupportsoftware[.]com      United Kingdom          0
 
		
	
	Seção Detalhes do Arquivo (File Details)
	
	Seção Strings Coletadas (Extracted Strings)
	
	Nenhuma das alternativas está correta
	
	Seção Arquivos Coletados (Extracted Files)
	 
	Seção Analise de Rede (Network Analysis)
	Respondido em 25/01/2021 09:02:30
	
Explicação:
Este pequeno pedaço de um relatorio de um sistema sandbox faz parte da seção de Network Analysis. Quando pegamos um relatorio e queremos ver diretamente quais hosts que o malware está tentando comunicar, podemos ir direto nesta seção, onde vemos os IPs e Dominios.
	
	
	 
		4
           Questão
	
	
	Um relatório gerado a partir de um sistema Sandbox mostrou o seguinte resultado:
General
a) POSTs files to a webserver
A partir desse resultado, podemos entender que:
		
	
	Nenhuma das alternativas está correta.
	 
	O artefato posta informações para o servidor web remoto.
	
	O servidor web remoto não está disponível.
	
	O sistema Sandbox está realizando um ping no servidor web remoto.
	
	O artefato realiza um download de algo que está hospedado no servidor web remoto.
	Respondido em 25/01/2021 09:03:39
	
Explicação:
.Resposta correta: letra B.
A resposta B é a correta, pois mostra o método utilizado em uma comunicação HTTP. Os métodos GET e POST são os mais comuns, sendo que o método GET é utilizado para pegar dados e o método POST é utilizado para enviar dados a um servidor.
	
	
	 
		5
           Questão
	
	
	Que informações são geralmente geradas em um sistema Sandbox?
		
	
	Informações sobre arquivos criados no sistema pelo executavel analisado
	
	Informações sobre dominios que o executavel tentou resolver via DNS.
	
	Informações sobre chaves de registro (Register Keys) criadas, excluidas ou modificadas pelo executavel.
	
	Informações sobre endereços IP que o executavel tentou se conectar
	 
	Todas as alternativas estão corretas.
	Respondido em 25/01/2021 09:04:13
	
Explicação:
Um sistema sandbox é capaz de capturar uma serie de informações sobre as ações realizadas por um arquivo executavel, como eventos de rede (como endereços IPs e dominios) e de host como arquivos criados, excluidos, e de chaves de registro.
	
	
	 
		6
           Questão
	
	
	Os cabeçalhos do protocolo HTTP possibilitam que o cliente (usualmente um navegador web) e o servidor (o servidor remoto web) possam trocar informações adicionais como:
 
		
	
	Se a página não foi encontrada.
	
	Se existe um redirecionamento para outro endereço.
	
	Se a transação foi feita com sucesso.
	
	Qual o tipo do navegador.
	 
	Toda as opções.
	Respondido em 25/01/2021 09:04:30
	
Explicação:
Resposta correta: letra E.
O cabeçalho do protocolo HTTP faz parte das trocas de mensagem entre um cliente e o servidor. Ele possibilita que o cliente se comporte de certa maneira de acordo com a resposta recebida pelo servidor, podendo mostrar uma mensagem de erro para o usuário quando a página não está mais no servidor ou o usuário digitou a resposta incorreta, pode possibilitar que o servidor mostre o site específico para um celular dependendo da informação do User-Agent, ou mesmo redirecionar o usuário para outro site. Estes são alguns exemplos do potencial das informações contidas no cabeçalho HTTP.
Aula 4
	
		1
           Questão
	
	
	Para qual utilizade podemos usar o site Shodan?
		
	
	Para capturar trafego de rede
	
	Para fazer um nslookup em nosso dominio
	
	Para fazer um pentest em nossa rede
	 
	Para fazer uma busca passiva no nosso bloco de rede para verificar o que esta disponivél externamente.
	
	Para quebra de senhas usando rainbow table
	Respondido em 02/02/2021 17:04:40
	
Explicação:
O site Shodan realiza um scan por todos os IPs disponíveis na internet, inclusive o da nossa organização, e verifica as portas abertas, coleta os banners com as informações do serviço e indexa estas informações. Assim podemos ver o que está disponivel externamente para todas as pessoas.
	
	
	 
		2
           Questão
	
	
	Qual ferramenta geralmente pode ser utilizada para descobrir dados referentes a um domínio na internet, como nome completo, CPF ou CNPJ?
		
	
	Nessus
	 
	Whois
	
	Nmap
	
	Whireshark
	
	Shodan
	Respondido em 02/02/2021 17:05:08
	
Explicação:
É um protocolo TCP (porta 43) específico para consultar informações de contato e DNS sobre entidades na internet. Uma entidade na internet pode ser um nome de domínio, um endereço IP ou um AS (Sistema Autônomo).
	
	
	 
		3
           Questão
	
	
	OSINT é a sigla em ingles para Open Source Intelligence. O que quer dizer para nós no contexto de CTI?
		
	 
	Informações que podem ser adquiridas livremente na internet
	
	Informações que podem ser conseguidas através de pagamento.
	
	Busca por inteligencia utilizando inteligencia artificial (IA).
	
	Programas com codigo fonte aberto e disponivel
	
	Busca de informações com GNU/Linux.
	Respondido em 02/02/2021 17:06:08
	
Explicação:
OSINT ou Open Source Intelligence diz respeito a informações que podem ser encontradas livremente na internet.
	
	
	 
		4
           Questão
	
	
	O acesso a informações fechadas em algumas ocasiões dependem de autorização judicial ou somente por pessoas autorizadas.
Qual informação abaixo não depende desse tipo de autorização?
		
	
	Ficha de antecedentes criminais.
	
	Quebra de sigilo telefônico.
	
	Captação e interceptação ambiental.
	
	Movimentação financeira.
	 
	Salários de servidores públicos.
	Respondido em 02/02/2021 17:09:22
	
Explicação:
Todo órgão publico da esfera (municipal, estadual e federal) deverá disponibilizar a folha de pagamento dos seus servidores através de um portal de transparência, sendo disponível para acesso a qualquer cidadão.
	
	
	 
		5
           Questão
	
	
	Que tipo de informações podem ser postados em sites tipo Pastebin, como Ghostbin, Pastin, etc...?
		
	
	Arquivos binarios em formato base64
	
	Texto livre
	 
	Videos com tutoriais hacker
	
	Codigo fonte e scripts
	
	Dados roubados, postados por hackers
	Respondido em 02/02/2021 17:07:33
	
Explicação:
Apesar de se poder colocar links para sites com videos, o Pastebin e Github não sao usados para postagem de videos.
	
	
	 
		6
           Questão
	
	
	São as  informações disponíveis ao público e que não exige nenhuma espécie de restrição ao seu acesso.
		
	
	banco de dados
	 
	fontes abertas
	
	software gratuito
	
	fontes fechadas
	
	software open source
	Respondido em 02/02/2021 17:07:07
	
Explicação:
São também conhecidas de Open Source Intelligence (INTELIGÊNCIA DE FONTES ABERTAS).
	
	
	 
		7
           Questão
	
	
	Qual ferramente é conhecida como scanner de rede e pode ser utilizado para descobrir portas abertas em sistemas operacionais?
		
	 
	Nmap
	
	Whois
	
	Whireshark
	
	Antivirus
	
	Nessus
	Respondido em 02/02/2021 17:06:53
	
Explicação:
Nmap é um software livre que realiza port scan desenvolvido pelo Gordon Lyon, autoproclamado hacker "Fyodor". É muito utilizado para avaliar a segurança dos computadores, e para descobrir serviços ou servidores em uma rede de computadores.
	
	
	 
		8
           Questão
	
	
	É um mecanismo de buscas que permite ao usuário encontrar tipos específicos de hosts (webcams, roteadores, servidores, etc.) conectados à Internet, usando uma variedade de filtros.
		
	
	Whois
	
	Whireshark
	
	Nessus
	
	Nmap
	 
	Shodan
	Respondido em 02/02/2021 17:06:35
	
Explicação:
A função específica do SHODAN e realizar uma varredura por toda a rede mundial de computadores em busca de equipamentos como: Roteadores, Switches, Servidores, Webcams, Celulares, Tablets, Telefones VOIP, em busca de configurações padrões como senhas, enfim qualquer dispositivo que possibilita uma conexão com a internet e que possua configurações padrões pode ser registrado pelo SHODAN.
Aula 5
	 
		1Questão
	
	
	Como podemos inserir novos Transforms no Maltego? Escolha a alternativa errada!
		
	 
	Decodificando codigo fonte usando base64 e inserindo como texto.
	
	Podemos usar um que esteja disponivel gratuitamente.
	
	Podemos criar um usando a documentação fornecida pelo Maltego
	
	Podemos comprar diretamente de um fornecedor.
	
	Podemos usar a API de algum produto que ja temos como de um fornecedor anti-spam.
	Respondido em 03/02/2021 19:51:02
	
Explicação:
Não é possivel inserir transforms no Maltego usando base64.
	
	
	 
		2
           Questão
	
	
	Como chama a função do Matego que automatiza atividades que normalmente teriam que ser realizadas manualmente. Como exemplo temos o footprint de infraestrutura que busca várias informações a partir de um domínio.
		
	
	Fingerprint
	
	RunDown
	
	AutoMaltego
	 
	Machines
	
	AutoSearch
	Respondido em 03/02/2021 19:51:54
	
Explicação:
A ferramenta Maltego oferece uma opção chamada Machines (máquinas) que é um conjunto de ações consecutivas que automatiza uma serie de atividades que normalmente teriam que ser realizadas manualmente. Como exemplo temos o footprint de infraestrutura que busca várias informações a partir de um domínio.
	
	
	 
		3
           Questão
	
	
	O Maltego é um programa capaz de determinar os relacionamentos em links do mundo real como:
		
	
	Sites e Dominios
	
	Companhias e Organizações
	
	Pessoas e Redes Sociais
	 
	Endereço IP e Endereço MAC
	
	Nomes de DNS e Endereço de Email
	Respondido em 03/02/2021 19:55:13
	
Explicação:
O Maltego não faz buscas a nível de endereço MAC, somente IP.
	
	
	 
		4
           Questão
	
	
	A interação do Maltego com o site Virus Total nos permite pegar as seguintes informações a partir de um hash (seja Md5, SHA-1 ou SHA-256):
		
	 
	 Numero de antivirus que detectam o hash, e o nome da deteção
	
	Strings dentro do arquivo
	
	Versão do malware
	
	Data de criação do arquivo
	
	Tamanho do arquivo
	Respondido em 03/02/2021 19:57:06
	
Explicação:
O transform do VirusTotal do Maltego nos permite descobrir se um antivirus detecta o arquivo como malicioso e qual o nome da detecção.
	
	
	 
		5
           Questão
	
	
	Identifique a alternativa errada. Os plugins do Maltego, chamados de Transforms, podem: 
		
	 
	Criar regras de IDS Snort.
	
	Interagir com outras plataformas como Shodan através de APIs
	
	Mostrar de forma gráfica resultados de ferramentas como Nslookup e Whois
	
	Identificar blocos de IPs a partir de um unico endereço IP.
	
	Realizar buscas em sites como Pastebin, LinkedIN, Twitter e outros.
	Respondido em 03/02/2021 19:57:45
	
Explicação:
Os transforms do Maltego podem realizar diferentes funções, porem a criação de regras de IDS não faz parte delas.
	
	
	 
		6
           Questão
	
	
	São operações (ou métodos) que podem ocorrer com os objetos. Eles executam tarefas e constroem gráficos.
		
	
	Entities
	
	Collaboration
	
	Collections
	 
	Transforms
	
	Machines
	Respondido em 03/02/2021 19:58:32
	
Explicação:
.
	
	
	 
		7
           Questão
	
	
	São conjuntos (grupos) de transforms que automatizam algumas tarefas repetitivas, como consultas recursivas.
		
	
	Entities
	
	Collections
	
	Collaboration
	
	Transforms
	 
	Machines
	Respondido em 03/02/2021 19:59:03
	
Explicação:
.
	
	
	 
		8
           Questão
	
	
	A ferramenta Maltego é amplamente utilizada para OSINT. Qual a sua função?
		
	 
	É uma ferramenta de "link analysis" que permite a busca e analise de informações disponiveis na internet
	
	É uma ferramenta para criação de repositórios no Github
	
	É uma ferrramenta para realizar o registro de novos dominios na internet
	
	É uma ferramenta para criação de posts no Pastebin
	
	É uma ferramenta para realizar a captura de trafego da internet
	Respondido em 03/02/2021 19:59:59
	
Explicação:
Maltego é uma ferramenta de ¿link analysis¿ criada pela empresa Paterva que permite, através de plug-ins chamados de transforms, a busca e análise de informações disponíveis na internet.
Aula 6
	 
		1
           Questão
	
	
	Porque um contexto é importante quando se avalia um IOC?
		
	
	Para melhor organização dos logs.
	
	Para criação de regras de IDS
	
	Para facilitar a busca em base de dados
	
	Nenhuma das alternativas está correta.
	 
	Para evitar falso positivos em analises
	Respondido em 03/02/2021 20:00:49
	
Explicação:
O contexto em um IOC é extremamente importante para se evitar falso positivos durante a fase de analises.
	
	
	 
		2
           Questão
	
	
	De acordo com output do script VirusGotal abaixo:
./virusgotal url www.malwareishere.com.br
www.malwareishere.com.br scan results:
VirusTotal link: https://www.virustotal.com/url/2cc58e3243541f95e312c9e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 50/61
 
Mostra que:
		
	 
	O site malwareishere foi detectado como malicioso por 50 programas de anti-virus
	
	O site VirusTotal nao detectou o site malwareishere como malicioso.
	
	O site malwareishere foi detectado como malicioso por 61 programas de anti-virus.
	
	O site malwareishere está infectado com 61 virus
	
	O site malwareishere está infectado com 50 virus
	Respondido em 03/02/2021 20:09:31
	
Explicação:
VirusTotal detectou o site malwareishere como malicioso por 50 de um total de 61 programas de anti-virus.
	
	
	 
		3
           Questão
	
	
	Quais as principais formas de se conseguir fontes de IOCs?
		
	
	Através de buscadores web
	
	Através de logs do wireshark
	
	Através de Artigos na internet
	 
	Através de Empresas de Segurança, Fontes Open Source e Honeypots próprios.
	
	Através de conferencias de segurança
	Respondido em 03/02/2021 20:21:44
	
Explicação:
Existem 3 formas principais de se conseguir estas fontes/feeds, através de uma empresa de segurança de informações, através de fontes open source, através de honeypots próprios.
	
	
	 
		4
           Questão
	
	
	Porque a idade de um IOC é importante?
		
	
	Todos IOCs devem ter a mesma idade.
	 
	Para poder realizar uma analise com o contexto correto
	
	Idade do IOC não é importante para uma analise
	
	Porque IOCs mais antigos tem mais credibilidade
	
	Para colocar mais detalhes no relatorio
	Respondido em 03/02/2021 20:22:45
	
Explicação:
A idade de um IOC é fundamental para se assinalar um nível de prioridade ou criticidade a algum evento.
	
	
	 
		5
           Questão
	
	
	Feeds de IOC podem conter Hashes de malware, lista de IPs , Lista de URL , Lista de Dominios maliciosos por exemplo. Qual outra informação pode conter em Feed de IOC?
		
	
	Lista de versões de firmware de firewall
	 
	Regras de IDS
	
	Nenhuma outra informação esta presente em feeds de IOC
	
	Lista de Patches
	
	Versoes de Sistema Operacional
	Respondido em 03/02/2021 20:23:49
	
Explicação:
Regras de IDS é um outro tipo de feed que existe, para que fique facil para empresas implementarem regras para detectar trafego malicioso.
	
	
	 
		6
           Questão
	
	
	Porque é importante entender a infraestrutura relacionada a um IOC?
		
	
	Porque a infrastrutura pode conter IPs de outros paises
	 
	Porque a infrastruturta pode tambem estar sendo usada para fins legitimos 
	
	Porque a infrastrutura pode armazenar diferentes logs
	
	Porque a infrastrutura pode não ser maliciosa
	
	Entender a infrastrutura de um IOC não é importante
	Respondido em 03/02/2021 20:24:15
	
Explicação:
A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras organizações, se o IP é utiulizado para outra função, etc...tudo isso contribui para a analise.
	
	
	 
		7
           Questão
	
	
	Ao realizar uma busca por um IOC no VirusTotal, o analista recebeu o seguinte resultado:
./virusgotal url www.olx.com.br
www.olx.com.br scan results:VirusTotal link:
https://www.virustotal.com/url/2cc58e3243541f95e312c9
e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 0/71
Esse resultado nos mostra que:
		
	
	O site OLX foi detectado como malicioso por 71 programas de antivírus.
	
	Nenhuma das alternativas.
	
	A e B.
	
	O site OLX está infectado com 71 vírus.
	 
	O site OLX não foi detectado como malicioso por nenhum programa de antivírus.
	Respondido em 03/02/2021 20:24:49
	
Explicação:
O output da ferramenta mostra 0/71, ou seja, 0 (nenhum) antivírus dentre os 71 antivírus disponíveis no VirusTotal detectou o site como malicioso.
	
	
Aula 7
	 
		1
           Questão
	
	
	São exemplos de Plataformas de Inteligencia contra Ameaças, exceto:
		
	 
	Maltego
	
	MISP
	
	Opentip
	
	AnomaliThreat
	
	ThreatConect
	Respondido em 03/02/2021 20:25:50
	
Explicação:
A Maltego é uma ferramenta de análise e análise de links visuais e é o software mais famoso para a realização de Open Source Intelligence. Ele fornece uma biblioteca de plugins, denominados "transformações", que são usados ​​para executar consultas em fontes abertas, a fim de reunir informações sobre um determinado destino e exibi-los em um bom gráfico.
	
	
	 
		2
           Questão
	
	
	Um dos tipos abaixo não pode ser usado como busca em uma plataforma de TIP:
		
	
	URL
	
	Hash
	
	Endereço IP
	
	Dominio
	 
	Versão de Patch
	Respondido em 03/02/2021 20:26:17
	
Explicação:
Versão de Patch geralmente não é considerado um IOC e não pode ser buscado em uma plataforma de TIP
	
	
	 
		3
           Questão
	
	
	Para que utilizamos o dashboard em um TIP?
		
	
	Dashboard possibilita a criação de regras de firewall dentro de um TIP
	
	Dashboard lista os antivirus mais acessados recentemente.
	
	Dashboard realizar a correlação de eventos de segurança
	
	Dashboard possibilita a criação de regras de IDS em um TIP
	 
	Dashboard é a tela principal de um TIP com informações de rapido acesso
	Respondido em 03/02/2021 20:27:34
	
Explicação:
O dashboard é a tela principal dentro de um TIP, onde fornece as principais informações de forma rapida para o analista.
	
	
	 
		4
           Questão
	
	
	Como exemplos de TIP podemos citar:
		
	
	Linux, Windows e MacOSX
	
	Snort, BRO, Suricata
	
	Cisco ASA, Checkpoint, Palo Alto Firewall
	
	AWS, Azure, GCP
	 
	ThreatConnect, MISP, AlienVault
	Respondido em 03/02/2021 20:27:57
	
Explicação:
Snort, Bro e Suricata são exemplos de IDS, Cisco Checkpoint e Palo Alto Firewall são exemplos de Firewall, e AWS, Azure e GCP são exemplos de provedores Cloud. 
	
	
	 
		5
           Questão
	
	
	São funções de um TIP:
		
	
	Pentest da infrastrutura da organização
	
	Aplicação de patches de segurança nos sistemas
	 
	Coleta de IOCs, Analise e Compartilhamento e Disseminação de Threat Intelligence
	
	Generate alerts based on events in the network.
	
	Collect and store the logs.
	Respondido em 03/02/2021 20:29:41
	
Explicação:
As funções principais de um TIP são Coleta, Análise, Compartilhamento / Disseminação de Threat Intelligence.
 
	
	
	 
		6
           Questão
	
	
	MISP, OTX e ThreatConnect são exemplos de:
		
	 
	Plataformas TIP (Threat Intelligence Platforms)
	
	Formato de troca de arquivos
	
	Sistemas de IPS
	
	Sistemas de IDS
	
	Firewalls
	Respondido em 03/02/2021 20:30:09
	
Explicação:
MISP, OTX e ThreatConnect são exemplos de plataformas TIP.
	
	
	 
		7
           Questão
	
	
	O MISP, apesar de ser usada como uma plataforma TIP, foi originalmente criada como:
		
	
	Uma interface grafica para firewall IPTables
	
	Uma plataforma SIEM, para armazenamento de logs
	
	Uma interface para sistema de IDS Snort
	 
	Uma plataforma criada originalmente como uma maneira de se compartilhar e armazenar IOCs de malware
	
	Um sistema de monitoramento de logs
	Respondido em 03/02/2021 20:31:49
	
Explicação:
O MISP é uma plataforma que foi criada originalmente como uma maneira de se compartilhar e armazenar IOCs relacionados a Malware.
	
	
	 
		8
           Questão
	
	
	Como funções de um TIP podemos citar:
		
	
	Compartilhamento.
	
	Disseminação.
	
	Coleta.
	
	Análise.
	 
	Todas as alternativas.
	Respondido em 03/02/2021 20:32:00
	
Explicação:
Uma plataforma de Threat Intelligence deve possibilitar ao analista de inteligência percorrer as diferentes fases do ciclo de vida do CTI. Deve possibilitar que ele a utilize para coleta de informações e IOCs, que ele faça uma análise dos eventos e dos IOC, correlacionando-os com outros eventos. Deve, ainda, possibilitar que ele possa exportar os resultados para serem disseminados internamente e que, caso necessário, compartilhe as informações com outros grupos ou publicamente. Todas as alternativas estão corretas e fazem parte das funções de um TIP.
	
	
Aula 8
	 
		1
           Questão
	
	
	Qual fase do modelo Cyber Kill Chail os atacantes começam a desenvolver seus ataques e as ferramentas que serão utilizadas. Podem tanto ser ferramentas criadas e desenvolvidas por eles mesmo quanto ferramentas compradas na deep web.
		
	
	Command & Control
	
	Reconnaissance
	
	Installation
	
	Actions on Objectives
	 
	Weaponization
	Respondido em 03/02/2021 21:08:20
	
Explicação:
Na segunda fase, com base em informações obtidas na fase de reconhecimento (Weaponization), o atacante vai escolher que tipo de ataque irá realizar, focando na infraestrutura descoberta na fase anterior. Ele, então, poderá criar um exploit ou malware para ser entregue à vítima.
	
	
	 
		2
           Questão
	
	
	Qual fase abaixo NÃO faz parte do modelo Cyber Kill Chain?
		
	
	Exploitation (Exploração)
	
	Command & Control (Comando e Controle)
	
	Weaponization ( Armamento)
	 
	Logging (Logar eventos)
	
	Delivery (Entrega )
	Respondido em 03/02/2021 21:09:46
	
Explicação:
Logging não é uma fase do modelo Cyber Kill Chain.
	
	
	 
		3
           Questão
	
	
	Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma ferramenta de Proxy entraria como qual categoria de Ferramenta?
		
	
	Ferramenta de Interrupção de Ataques.
	
	Ferramenta para Enganar.
	
	Ferramenta de Detecção.
	
	Ferramenta de Atraso.
	 
	Nenhuma das anteriores.
 
	Respondido em 03/02/2021 21:10:33
	
Explicação:
Nenhuma das anteriores. No caso da ferramenta de Proxy, ela entraria como uma Ferramenta para Bloqueio, pois muitas vezes o servidor remoto do Command & Control é conhecido como malicioso e o proxy já pode bloqueá-lo automaticamente. Outro cenário é de um servidor remoto que está usando uma porta TCP pouco usada, como 9123, e o servidor proxy apenas permite portas 80 e 443.
	
	
	 
		4
           Questão
	
	
	No elevador da empresa um funcionário achou um usb drive (pendrive) com adesivo escrito ¿Desligamentos Futuros - RH¿. Chegando na sua mesa o funcionário inseriu o pen drive e viu que continha o arquivo ¿Planilha.xls¿ . Em qual fase do Cyber Kill Chain esse cenário se enquadra?
		
	
	Exploitation
	
	Reconnaissance
	
	Weaponization
	 
	Delivery
	
	Installation
	Respondido em 03/02/2021 21:12:26
	
Explicação:
A fase de delivery é aquela que irá entregar o artefato construído durante a fase de Weaponization. A entrega pode ser feita de maneiras diferentes, seja através de um email com phishing ou mesmo através de técnicas de engenharia social, como a do USB que se faz passar por um pendrive da área de recursos humanos.
	
	
	 
		5
           Questão
	
	
	O que melhor descreve a fase de Command & Control? 
		
	 
	Estabelecer contato com o servidor remoto de Comando e Controle (C&C) para envio de informações e receber comandos para serem executados na máquina da vítima.
	
	Estabelecer contato com o servidor para utilização de exploits na máquina da vítima.
	
	Mapeamento do servidor remoto para criação de exploitespecifico para a vitima.
	
	Entrega do exploit no servidor remoto da vitima, e subsequente exploração
	
	Identificação da infrastrutura da vitima. 
	Respondido em 03/02/2021 21:16:04
	
Explicação:
A melhor descrição da fase de Command & Control é estabelecer contato com o servidor remoto de Comando e Controle (C&C) para envio de informações e receber comandos para serem executados na máquina da vítima.
	
	
	 
		6
           Questão
	
	
	O que é o Curso de Ações do Cyber Kill Chain?
		
	 
	Um mapeamento de tipos de ferramentas que podem ser empregados em cada fase do ataque com diferentes objetivos.
	
	Um mapeamento de tipos de logs que podem ser recebidos em cada fase do ataque com diferentes objetivos.
	
	Um mapeamento de tipos de controles que podem ser empregados em cada fase do ataque com diferentes objetivos.
	
	Um mapeamento de tipos de malware que pode ser usado em cada fase do ataque com diferentes objetivos.
	
	Um mapeamento de tipos de sistemas operacionais que podem ser empregados em cada fase do ataque com diferentes objetivos.
	Respondido em 03/02/2021 21:16:56
	
Explicação:
O Curso de ações é um mapeamento de tipos de ferramentas que podem ser empregados em cada fase do ataque com diferentes objetivos
	
	
	 
		7
           Questão
	
	
	Qual etapa do Modelo Cyber Kill Chain o atacante enviar o seu programa malicioso para o alvo. A forma mais utilizada costuma ser o spear-phishing, que é um vetor de ataque direcionado, ou seja, com alvos bem determinados.
		
	
	Exploit
	
	Install
	
	Weaponization
	 
	Delivery
	
	Reconnaissance
	Respondido em 03/02/2021 21:17:47
	
Explicação:
Na Terceira fase, com base em informações obtidas na fase anterior, o atacante irá planejar e executar a entrega do ¿pacote¿ malicioso. Apesar de a forma mais comum utilizada pelos grupos de APT ainda ser o e-mail, outras formas podem ser usadas também, como um pen-drive USB deixado perto da vítima.
	
	
	 
		8
           Questão
	
	
	Quais as 7 fases de um Cyber Attack , segundo o modelo Cyber Kill Chain?
		
	
	Exploitation, Reconnaissance, Delivery, Weaponization, Installation, Command & Control, Actions on Objectives
	
	Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Logging
	
	Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives
	 
	Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives
	
	Delivery, Weaponization, Exploitation, Installation, Reconnaissance, Command & Control, Actions on Objectives
	Respondido em 03/02/2021 21:18:54
	
Explicação:
As 7 fases são Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives
	
	
Aula 9