Módulo 14_Ameaças e ataques comuns

Question 1

Tipo de Trojan: Acesso remoto

Answer 1

Permite acesso remoto não autorizado.

Question 2

Tipo de Trojan: Envio de dados.

Answer 2

Fornece dados confidenciais, como senhas, com frequência estipulada pelo criminoso.

Question 3

Tipo de Trojan: Destrutivo.

Answer 3

Corrompe ou exclui arquivos.

Question 4

Tipo de Trojan: Proxy.

Answer 4

Usa com disp. final da vítima como disp. de origem para lançar ataques e realizar outras atividades ilegais.

Question 5

Tipo de Trojan: FTP.

Answer 5

Habilida serviços de transferência de arquivos não autorizados em dispositivos finais.

Question 6

Tipo de Trojan: Desativador de software de segurança.

Answer 6

Impede o funcionamento de programas antivírus ou firewalls.

Question 7

Tipo de Trojan: Negação de serviço (DoS).

Answer 7

Retarda ou interrompe a atividade da rede.

Question 8

Tipo de Trojan: Agentes de log de digitação.

Answer 8

Rouba informações confidenciais gravando as teclas digitadas em um formulário web.

Question 9

Worms tornaram-se mais sofisticados ao longo do tempo, mas eles ainda tendem a ser baseados na exploração de fraquezas em aplicativos de software. Qual é a forma padrão mais comum de um WORM?

Answer 9

Habilitando vulnerabilidade - Um worm se instala usando um mecanismo de exploração, como um anexo de e-mail, um arquivo executável ou um cavalo de Tróia, em um sistema vulnerável.
Mecanismo de propagação - Depois de obter acesso a um dispositivo, o worm se replica e localiza novos alvos.
Carga útil - Qualquer código malicioso que resulte em alguma ação é uma carga útil. Na maioria das vezes, isso é usado para criar um backdoor que permite a um ator de ameaça acessar o host infectado ou criar um ataque DoS.

Question 10

Os computadores infectados com malware geralmente apresentam um ou mais dos seguintes sintomas:

Answer 10

Aparência de arquivos, programas ou ícones da área de trabalho estranhos
Programas antivírus e de firewall estão desativando ou reconfigurando configurações
A tela do computador está congelando ou o sistema está travando
E-mails são enviados espontaneamente sem o seu conhecimento para a sua lista de contatos
Os arquivos foram modificados ou excluídos
Maior uso da CPU e/ou da memória
Problemas de conexão a redes
Velocidade lenta do computador ou do navegador da Web
Processos ou serviços desconhecidos em execução
Portas TCP ou UDP desconhecidas abertas
Conexões são feitas para hosts na Internet sem ação do usuário

Question 11

Um ataque de reconhecimento de rede é análogo a um ladrão que inspeciona um bairro indo de porta em porta fingindo vender alguma coisa. O que o ladrão está realmente fazendo é procurando casas vulneráveis, como residências desocupadas, residências com portas ou janelas fáceis de abrir e residências sem sistemas de segurança ou câmeras de segurança.

VERDADEIRO OU FALSO

Answer 11

Verdadeiro

Os atores de ameaças usam ataques de reconhecimento (ou recon) para fazer descobertas e mapeamentos não autorizados de sistemas, serviços ou vulnerabilidades. Os ataques Recon precedem ataques de acesso ou ataques DoS.

Question 12

Técnica de ataque de rede: Consulta de informações do alvo

Answer 12

Informações pública, redes sociais, informações de domínio (whois)..

Question 13

Técnica de ataque de rede: ping da rede destino

Answer 13

Assim se descobre quais endereços IP estão ativos.

Question 14

Técnica de ataque de rede: verificação de porta nos endereços IP ativos

Answer 14

Determinar as portas ou serviços que estão disponíveis. Ex. scanners: Nmap, SuperScan, Angry IP Scanner e NetScanTools.

Question 15

Técnica de ataque de rede: Scanner de vulnerabilidades

Answer 15

Consulta as portas identificadas para determinar o tipo e a versão do aplicativo e do sistema operacional que está sendo executado. Ex. de scanner: Nipper Secuna PSI, Core Impact, Nessus v6, SAINT, Oen VAS.

Question 16

Técnica de ataque de rede: ferramentas de exploração

Answer 16

Explorar serviços vulneráveis. Ex. de ferramentas: Metasploit, Core Impact, Sqlmap, Social Engineer, Toolkit, Netsparker.

Question 17

Um ataque de negação de serviço (DoS) cria algum tipo de interrupção dos serviços de rede para usuários, dispositivos ou aplicativos. Existem dois tipos principais de ataque de negação de serviço (DoS):

Answer 17

Grande quantidade de tráfego - O agente de ameaças envia uma enorme quantidade de dados a uma taxa que a rede, host ou aplicativo não pode manipular. Isso faz com que os tempos de transmissão e resposta diminuam. Também pode travar um dispositivo ou serviço.
Pacotes maliciosamente formatados - O invasor envia um pacote formatado maliciosamente para um host ou aplicativo e o receptor não consegue manipulá-lo. Isso causa lentidão ou falha na execução do dispositivo receptor.

Question 18

Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), porém é originado por várias fontes coordenadas. Exemplifique.

Answer 18

Por exemplo, um agente de ameaça cria uma rede de hosts infectados, conhecidos como zumbis. O agente de ameaças usa um sistema de comando e controle (CnC) para enviar mensagens de controle aos zumbis. Os zumbis constantemente examinam e infectam mais hosts com malware bot. O malware bot é projetado para infectar um host, tornando-o um zumbi que pode se comunicar com o sistema CnC. Um grupo de zumbis é chamada de botnet. Quando pronto, o agente de ameaça instrui o sistema CnC a fazer com que o botnet de zumbis execute um ataque DDoS.

Question 19

Aqui está um resumo dos componentes principais de um ataque DDoS (Distributed Denial of Service):

Answer 19

Botnets: Uma rede de dispositivos infectados (bots) que são controlados por um atacante. Esses dispositivos são usados para gerar um tráfego massivo contra um alvo específico.

Controlador (Command and Control, C&C, handlers): O centro de comando que coordena os bots na botnet. O controlador (botmaster) envia instruções para os bots sobre quando e como lançar o ataque.

Amplificadores: Alguns ataques DDoS utilizam servidores de terceiros mal configurados para amplificar o volume de tráfego enviado à vítima. Isso torna o ataque mais potente sem depender exclusivamente dos bots.

Vectores de Ataque: Diferentes métodos para sobrecarregar a vítima, como ataques de volume (enviando grandes quantidades de dados), ataques de protocolo (explorando vulnerabilidades de protocolos) ou ataques de aplicação (visando camadas específicas do software).

Question 20

O objetivo de um ator de ameaça ao usar um ataque DoS de estouro de buffer é encontrar uma falha relacionada à memória do sistema em um servidor e explorá-la. Explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o sistema inoperável, criando um ataque DoS.

VERDADEIRO OU FALSO

Answer 20

Verdadeiro

Por exemplo, um ator de ameaça insere entrada maior do que o esperado pelo aplicativo em execução em um servidor. O aplicativo aceita a grande quantidade de entrada e armazena na memória. O resultado é que ele pode consumir o buffer de memória associado e potencialmente substituir a memória adjacente, eventualmente corrompendo o sistema e fazendo com que ele falhe.

Observação: Estima-se que um terço dos ataques mal-intencionados sejam o resultado de estouros de buffer.

Question 21

Um Ping of Death é um tipo de ataque de negação de serviço (DoS) onde um invasor envia um pacote de dados ICMP (ping) de tamanho excessivo para um sistema alvo. Esses pacotes são fragmentados para transitarem pela rede e, ao serem recombinados no destino, se excederem o limite permitido, podem causar um estouro de buffer.

VERDADEIRO OU FALSO

Answer 21

Verdadeiro

Isso pode resultar em travamentos, reinicializações ou instabilidade do sistema, levando a uma negação de serviço.

Question 22

Método de evasão: Ofuscação

Answer 22

Técnica que altera a aparência do código malicioso para dificultar a análise e a detecção por softwares de segurança. Exemplos incluem cifrar o código ou usar técnicas de empacotamento.

Question 23

Método de evasão: Polimorfismo

Answer 23

O malware se modifica cada vez que infecta um novo sistema, gerando variações únicas que dificultam a detecção por assinaturas de antivírus.

Question 24

Método de evasão: metamorfismo

Answer 24

Similar ao polimorfismo, mas mais avançado. O malware reescreve seu próprio código sem alterar seu comportamento, criando versões distintas que são difíceis de detectar.

Question 25

Técnica de evasão: Rootkits

Answer 25

Ferramentas que se escondem profundamente no sistema operacional, permitindo que o atacante mantenha acesso contínuo e evitando a detecção por softwares de segurança tradicionais.

Question 26

Método de evasão: anti-debugging e anti-VM

Answer 26

Técnicas que detectam se o malware está sendo executado em um ambiente de análise (debugger ou máquina virtual) e alteram seu comportamento ou desativam suas funções para evitar a detecção.

Question 27

Técnica de evasão: evasão de assinaturas

Answer 27

Alteração contínua do malware para que suas características não correspondam às assinaturas conhecidas usadas pelos softwares antivírus.

Question 28

Técnica de evasão: evasão de heurísticas

Answer 28

Modificação do comportamento do malware para evitar ser detectado por métodos heurísticos que analisam o comportamento suspeito.

Question 29

Técnica de evasão: temporal

Answer 29

O malware pode ficar inativo por um período específico de tempo antes de se ativar, evitando a detecção imediata após a infecção.

Question 30

Técnica de evasão: engano

Answer 30

O malware pode criar arquivos ou processos falsos para desviar a atenção dos analistas de segurança e manter o foco longe das atividades maliciosas reais.

Question 31

Técnica de evasão: mimetismo

Answer 31

O malware imita o comportamento de software legítimo para passar despercebido pelos mecanismos de detecção.

Question 32

Téecnica de evasão: criptografia e encapsulamento

Answer 32

Usa tunelamento para ocultar, ou criptografia para embaralhar arquivos de malware.

Question 33

Técnica de evasão: esgotamento de recursos

Answer 33

Torna o host de destino ocupado demais para o uso correto de técnicas de detecção de segurança.

Question 34

Técnica de evasão: Fragmentação de Tráfego

Answer 34

Essa técnica envolve dividir o tráfego em fragmentos menores para evitar a detecção por sistemas de segurança. O tráfego fragmentado pode passar despercebido por firewalls e IDS (Sistemas de Detecção de Intrusão) que não reúnem os fragmentos para análise.

Question 35

Técnica de evasão: Interpretação Errada no Nível do Protocolo

Answer 35

Essa técnica explora diferenças na implementação dos protocolos entre sistemas. Um atacante pode enviar pacotes que são interpretados de maneira diferente pelo sistema de segurança e pelo alvo, evitando assim a detecção.

Question 36

Técnica de evasão: Substituição de Tráfego

Answer 36

Consiste em substituir partes do tráfego legítimo com dados maliciosos ou alterados. Isso pode confundir os sistemas de segurança e permitir a passagem de tráfego não autorizado.

Question 37

Técnica de evasão: Inserção de Tráfego

Answer 37

Nesta técnica, o atacante insere dados adicionais no tráfego de rede existente. Isso pode ser usado para enviar comandos maliciosos ou para injetar dados que comprometem a segurança do sistema alvo.

Question 38

Técnica de evasão: Pivotando

Answer 38

Refere-se ao uso de um sistema comprometido para acessar outros sistemas na rede. Depois de obter acesso a um ponto de entrada, o atacante pode usar esse sistema como um trampolim para explorar mais profundamente a rede.

Question 39

Técnica de evasão: Proxies

Answer 39

Os proxies são intermediários que encaminham pedidos e respostas entre clientes e servidores. Os atacantes podem usar proxies para ocultar sua localização, redirecionar tráfego ou bypassar restrições de segurança.