SIMULADO 02 - INTELIGÊNCIA DE AMEAÇAS CIBERNÉRTICAS

Prévia do material em texto

22/05/2021 Estácio: Alunos
https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 1/5
 
 
Disc.: INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS 
Aluno(a): HELISIANE CRISTINA RIBEIRO 202001123504
Acertos: 9,0 de 10,0 22/05/2021
 
 
Acerto: 1,0 / 1,0
Dentro do Ciclo de Vida do CTI, a fase de Planejamento e Requerimentos é responsavel por:
 Entender quais são os objetivos as serem cumpridos e qual a expectativa da
área 'cliente'
Transformar as informações em inteligência
Distribuir o produto gerado
Todas as anteriores
Realizar a coleta de informações
Respondido em 22/05/2021 15:16:44
 
 
Explicação:
Na fase de planejamento e requerimentos a área de CTI realiza a identificação
dos requerimentos com cada área ¿cliente¿. A área ¿cliente¿ é a área dentro da
organização que irá receber o relatório criado pela área de CTI. Nesta fase
devemos entender o que o "cliente" espera receber da área de CTI.
 
 
Acerto: 1,0 / 1,0
O objetivo de inserir caracteres extras em URLs ou IPs, como:
hxxp://www.linux[.]com visa:
 Evitar um click acidental no link.
Deixar o link em negrito.
Confundir o analista que receberá as informações.
Facilitar que a URL/IP possa ser filtrada pelo sistema de IDS.
Facilitar a busca nos logs com ferramentas como grep.
Respondido em 22/05/2021 15:17:23
 
 
Explicação:
 Questão1
a
 Questão2
a
https://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
22/05/2021 Estácio: Alunos
https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 2/5
Resposta correta: letra B.
Existem várias vantagens em inserir caracteres extras em uma URL ou IPs, sendo que a mais evidente é evitar
um clique acidental quando estiver compartilhando este IOC.
 
 
Acerto: 1,0 / 1,0
Em um relatório de sandbox, o que quer dizer a linha abaixo:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"; Key: "SVVHOST"; Value:
""%ALLUSERSPROFILE%\Drivers\svvhost.exe"")
 O arquivo executavel svvhost.exe será executado a cada vez que o sistema for iniciado.
Nenhuma das alternativas está correta.
Svvhost.exe é um arquivo critico do sistema e deve ser iniciado a cada reinicialização do sistema.
Existe um novo driver no sistema, chamado svvhost.exe
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" é uma chave de registro para
instalação de drivers no sistema.
Respondido em 22/05/2021 15:14:11
 
 
Explicação:
A chave "HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN" indica ao sistema que arquivos
devem ser inicializados acada vez que o sistema reinicia. SVVHOST é um nome parecido com o executavel
svchost.exe do windows. Muitas vezes os autores de malware tentam criar nomes parecidos para passar
despercebido.
 
 
Acerto: 1,0 / 1,0
Qual ferramenta geralmente pode ser utilizada para descobrir dados referentes a um domínio na internet,
como nome completo, CPF ou CNPJ?
 Whois
Shodan
Nmap
Whireshark
Nessus
Respondido em 22/05/2021 15:12:36
 
 
Explicação:
É um protocolo TCP (porta 43) específico para consultar informações de contato e DNS sobre entidades
na internet. Uma entidade na internet pode ser um nome de domínio, um endereço IP ou um AS (Sistema
Autônomo).
 
 
Acerto: 1,0 / 1,0
Como funciona o mapeamento de organizações utilizando o Maltego?
Ele acessa o servidor web da organização para identificar vulnerabilidades
Ele correlaciona o log do sistema
 Ele busca todos os IPs, Blocos de IPs e Subdominios da organização
Ele realiza uma analise de trafego da organização.
Ele realiza um pentest no dominio da empresa
Respondido em 22/05/2021 15:11:34
 Questão3
a
 Questão4
a
 Questão5
a
22/05/2021 Estácio: Alunos
https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 3/5
 
 
Explicação:
O processo de mapeamento de uma organização consiste em descobrir a sua infrastrutura, como seus IPs e
blocos de IPs e seus subdominios, associado ao dominio da empresa.
 
 
Acerto: 1,0 / 1,0
Porque é importante entender a infraestrutura relacionada a um IOC?
Porque a infrastrutura pode conter IPs de outros paises
Porque a infrastrutura pode não ser maliciosa
Porque a infrastrutura pode armazenar diferentes logs
Entender a infrastrutura de um IOC não é importante
 Porque a infrastruturta pode tambem estar sendo usada para fins legitimos 
Respondido em 22/05/2021 15:08:39
 
 
Explicação:
A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras
organizações, se o IP é utiulizado para outra função, etc...tudo isso contribui para a analise.
 
 
Acerto: 0,0 / 1,0
São ferramentas de SIEM (Gerenciamentos de Eventos e Informações e Segurança)?
LogRhythm
ELK
IBM QRadar
 Splunk
 Snort
Respondido em 22/05/2021 15:07:33
 
 
Explicação:
Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin
Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes.
 
 
Acerto: 1,0 / 1,0
Quais as 7 fases de um Cyber Attack , segundo o modelo Cyber Kill Chain?
 Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on
Objectives
Delivery, Weaponization, Exploitation, Installation, Reconnaissance, Command & Control, Actions on
Objectives
Exploitation, Reconnaissance, Delivery, Weaponization, Installation, Command & Control, Actions on
Objectives
Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on
Objectives
Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Logging
 Questão6
a
 Questão7
a
 Questão8
a
22/05/2021 Estácio: Alunos
https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 4/5
Respondido em 22/05/2021 15:05:08
 
 
Explicação:
As 7 fases são Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions
on Objectives
 
 
Acerto: 1,0 / 1,0
Qual das taticas abaixo NÃO faz parte da matriz ATT&CK Enterprise?
Exfiltration (Envio de dados para fora)
Initial Access (Acesso Inicial)
Credential Access (Acesso a credenciais)
Privilege Escalation (Escalação de Privilégios)
 Target Selection (Definição do Alvo)
Respondido em 22/05/2021 14:59:52
 
 
Explicação:
Target Selection (Definição do Alvo) NÃO faz parte do ATT&CK Enterprise, e sim do Pre-ATT&CK.
 
 
Acerto: 1,0 / 1,0
WannaCry, o ransomware que fez o mundo chorar na sexta-feira [12 de maio de 2017].
O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme,
paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e
muitos outros, afetando principalmente a Europa no começo do dia.
Disponível em Acesso em jan. 2018.
Considerando ataques de segurança do tipo Ransomware, analise as asserções a seguir.
I. Ransomware é um tipo de código malicioso que sequestra os dados do usuário armazenados em um
equipamento conectado à Internet, removendo seus dados para a nuvem sob domínio do sequestrador, e
então é exigido pagamento de resgate (ransom) para devolver os dados para o equipamento do usuário e
restabelecer o seu acesso.
II. A infecção pelo Ransomware pode ocorrer e se propagar de diferentes maneiras, podendo ocorrer por meio
de anexo de e-mails ou hiperlinks que direcionam o usuário para o código malicioso.
III. O Ransomware/Locker facilita o acesso do usuário aos arquivos infectados e o Ransomware/Crypto
descompacta os arquivos e bloqueia o acesso aos dados armazenados no computador infectado.
IV. O usuário deve manter o sistema operacional e os programas instalados atualizados no seu computador,
para evitar infecção pelo Ransomware, ter um antivírus instalado, atualizado, e ser cauteloso ao clicar em links
ou abrir arquivos.
Sobre a infecção por Ransomware assinale a alternativa que apresenta as afirmações corretas.
I e II.
IIIe IV.
II e III.
I e III.
 II e IV.
Respondido em 22/05/2021 14:58:47
 
 
Explicação:
 Questão9
a
 Questão10
a
22/05/2021 Estácio: Alunos
https://simulado.estacio.br/alunos/?p0=186165540&user_cod=2569665&matr_integracao=202001123504 5/5
A variedade locker-ransomware costuma ser menos complexa, mas essa característica não indica que ela é,
necessariamente, mais fácil de mitigar. Nela, em vez de um conjunto de dados importantes ser criptografado, o
acesso do usuário ao dispositivo ou sistema é bloqueado.
Grosso modo, é como se o locker-ransomware passasse um cadeado em uma porta ou trocasse a fechadura
dela. A vítima é então submetida a algum tipo de extorsão para ter seu acesso restabelecido.
O bloqueio pode ser feito de diversas maneiras. As mais comuns envolvem mudanças de senha (por meio da
exploração de uma vulnerabilidade de software, por exemplo) ou a exibição de uma tela que impede o acesso
aos campos de login.
É possível que um único ransomware execute ações de locker-ransomware e crypto-ransomware ao mesmo
tempo.
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já
receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é
o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento
suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves
criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados.
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do
sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se
render" e concordar em fazer pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até
2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só
teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e
US$ 500 (outras moedas também foram usadas, como o euro).
FONTE: https://www.infowester.com/ransomware.php#locker
 
 
 
 
 
 
 
 
 
 
 
javascript:abre_colabore('38403','226366114','4605886543');