Baixe o app para aproveitar ainda mais
Prévia do material em texto
22/05/2021 Estácio: Alunos https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 1/5 Disc.: INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS Aluno(a): HELISIANE CRISTINA RIBEIRO 202001123504 Acertos: 9,0 de 10,0 22/05/2021 Acerto: 1,0 / 1,0 Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por: Entender quais são os objetivos as serem cumpridos e qual a expectativa da área 'cliente' Transformar as informações em inteligência Distribuir o produto gerado Todas as anteriores Realizar a coleta de informações Respondido em 22/05/2021 15:16:44 Explicação: Na fase de planejamento e requerimentos a área de CTI realiza a identificação dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da organização que irá receber o relatório criado pela área de CTI. Nesta fase devemos entender o que o "cliente" espera receber da área de CTI. Acerto: 1,0 / 1,0 O objetivo de inserir caracteres extras em URLs ou IPs, como: hxxp://www.linux[.]com visa: Evitar um click acidental no link. Deixar o link em negrito. Confundir o analista que receberá as informações. Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS. Facilitar a busca nos logs com ferramentas como grep. Respondido em 22/05/2021 15:17:23 Explicação: Questão1 a Questão2 a https://simulado.estacio.br/alunos/inicio.asp javascript:voltar(); 22/05/2021 Estácio: Alunos https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 2/5 Resposta correta: letra B. Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar um clique acidental quando estiver compartilhando este IOC. Acerto: 1,0 / 1,0 Em um relatório de sandbox, o que quer dizer a linha abaixo: "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value: ""%ALLUSERSPROFILE%\Drivers\svvhost.exe"") O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado. Nenhuma das alternativas está correta. Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema. Existe um novo driver no sistema, chamado svvhost.exe "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para instalação de drivers no sistema. Respondido em 22/05/2021 15:14:11 Explicação: A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar despercebido. Acerto: 1,0 / 1,0 Qual ferramenta geralmente pode ser utilizada para descobrir dados referentes a um domínio na internet, como nome completo, CPF ou CNPJ? Whois Shodan Nmap Whireshark Nessus Respondido em 22/05/2021 15:12:36 Explicação: É um protocolo TCP (porta 43) específico para consultar informações de contato e DNS sobre entidades na internet. Uma entidade na internet pode ser um nome de domínio, um endereço IP ou um AS (Sistema Autônomo). Acerto: 1,0 / 1,0 Como funciona o mapeamento de organizações utilizando o Maltego? Ele acessa o servidor web da organização para identificar vulnerabilidades Ele correlaciona o log do sistema Ele busca todos os IPs, Blocos de IPs e Subdominios da organização Ele realiza uma analise de trafego da organização. Ele realiza um pentest no dominio da empresa Respondido em 22/05/2021 15:11:34 Questão3 a Questão4 a Questão5 a 22/05/2021 Estácio: Alunos https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 3/5 Explicação: O processo de mapeamento de uma organização consiste em descobrir a sua infrastrutura, como seus IPs e blocos de IPs e seus subdominios, associado ao dominio da empresa. Acerto: 1,0 / 1,0 Porque é importante entender a infraestrutura relacionada a um IOC? Porque a infrastrutura pode conter IPs de outros paises Porque a infrastrutura pode não ser maliciosa Porque a infrastrutura pode armazenar diferentes logs Entender a infrastrutura de um IOC não é importante Porque a infrastruturta pode tambem estar sendo usada para fins legitimos Respondido em 22/05/2021 15:08:39 Explicação: A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras organizações, se o IP é utiulizado para outra função, etc...tudo isso contribui para a analise. Acerto: 0,0 / 1,0 São ferramentas de SIEM (Gerenciamentos de Eventos e Informações e Segurança)? LogRhythm ELK IBM QRadar Splunk Snort Respondido em 22/05/2021 15:07:33 Explicação: Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes. Acerto: 1,0 / 1,0 Quais as 7 fases de um Cyber Attack , segundo o modelo Cyber Kill Chain? Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives Delivery, Weaponization, Exploitation, Installation, Reconnaissance, Command & Control, Actions on Objectives Exploitation, Reconnaissance, Delivery, Weaponization, Installation, Command & Control, Actions on Objectives Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Logging Questão6 a Questão7 a Questão8 a 22/05/2021 Estácio: Alunos https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 4/5 Respondido em 22/05/2021 15:05:08 Explicação: As 7 fases são Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives Acerto: 1,0 / 1,0 Qual das taticas abaixo NÃO faz parte da matriz ATT&CK Enterprise? Exfiltration (Envio de dados para fora) Initial Access (Acesso Inicial) Credential Access (Acesso a credenciais) Privilege Escalation (Escalação de Privilégios) Target Selection (Definição do Alvo) Respondido em 22/05/2021 14:59:52 Explicação: Target Selection (Definição do Alvo) NÃO faz parte do ATT&CK Enterprise, e sim do Pre-ATT&CK. Acerto: 1,0 / 1,0 WannaCry, o ransomware que fez o mundo chorar na sexta-feira [12 de maio de 2017]. O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme, paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos outros, afetando principalmente a Europa no começo do dia. Disponível em Acesso em jan. 2018. Considerando ataques de segurança do tipo Ransomware, analise as asserções a seguir. I. Ransomware é um tipo de código malicioso que sequestra os dados do usuário armazenados em um equipamento conectado à Internet, removendo seus dados para a nuvem sob domínio do sequestrador, e então é exigido pagamento de resgate (ransom) para devolver os dados para o equipamento do usuário e restabelecer o seu acesso. II. A infecção pelo Ransomware pode ocorrer e se propagar de diferentes maneiras, podendo ocorrer por meio de anexo de e-mails ou hiperlinks que direcionam o usuário para o código malicioso. III. O Ransomware/Locker facilita o acesso do usuário aos arquivos infectados e o Ransomware/Crypto descompacta os arquivos e bloqueia o acesso aos dados armazenados no computador infectado. IV. O usuário deve manter o sistema operacional e os programas instalados atualizados no seu computador, para evitar infecção pelo Ransomware, ter um antivírus instalado, atualizado, e ser cauteloso ao clicar em links ou abrir arquivos. Sobre a infecção por Ransomware assinale a alternativa que apresenta as afirmações corretas. I e II. IIIe IV. II e III. I e III. II e IV. Respondido em 22/05/2021 14:58:47 Explicação: Questão9 a Questão10 a 22/05/2021 Estácio: Alunos https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 5/5 A variedade locker-ransomware costuma ser menos complexa, mas essa característica não indica que ela é, necessariamente, mais fácil de mitigar. Nela, em vez de um conjunto de dados importantes ser criptografado, o acesso do usuário ao dispositivo ou sistema é bloqueado. Grosso modo, é como se o locker-ransomware passasse um cadeado em uma porta ou trocasse a fechadura dela. A vítima é então submetida a algum tipo de extorsão para ter seu acesso restabelecido. O bloqueio pode ser feito de diversas maneiras. As mais comuns envolvem mudanças de senha (por meio da exploração de uma vulnerabilidade de software, por exemplo) ou a exibição de uma tela que impede o acesso aos campos de login. É possível que um único ransomware execute ações de locker-ransomware e crypto-ransomware ao mesmo tempo. Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados. Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e concordar em fazer pagamento aumentam consideravelmente. Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro). FONTE: https://www.infowester.com/ransomware.php#locker javascript:abre_colabore('38403','226366114','4605886543');
Compartilhar