Módulo 17_Ataque ao trabalho

Question 1

Envenenamento de Cache ARP (ARP Poisoning)
O envenenamento de cache ARP (ARP Poisoning ou ARP Spoofing) é um ataque onde o invasor envia respostas ARP falsas para redirecionar o tráfego de rede para si, permitindo interceptação, modificação ou bloqueio de dados.

VERDADEIRO OU FALSO

Answer 1

Verdadeiro

O envenenamento do cache ARP pode ser usado para iniciar vários ataques do tipo man-in-the-middle.

Existem muitas ferramentas disponíveis na Internet para criar ataques ARP MiTM, incluindo dsniff, Cain & Abel, ettercap, Yersinia e outros.

Question 2

Como funciona o ataque de envenenamento ARP?

Answer 2

1️⃣ O atacante envia mensagens ARP falsas para associar seu próprio endereço MAC ao endereço IP do alvo (geralmente um gateway ou outro host).
2️⃣ A vítima atualiza seu cache ARP com essa informação falsa.
3️⃣ Todo o tráfego destinado ao IP legítimo passa pelo atacante, que pode:

Intercetar (ataque Man-in-the-Middle).
Modificar os pacotes antes de repassá-los.
Bloquear a comunicação (DoS).

Question 3

Consequências do ARP Poisoning

Answer 3

✔ Ataques Man-in-the-Middle (MITM) → O atacante pode espionar e modificar dados.
✔ Roubo de credenciais → Pode capturar senhas de sites, e-mails e bancos.
✔ Ataques DoS → O tráfego pode ser bloqueado, derrubando conexões.
✔ Redirecionamento de tráfego → O invasor pode direcionar usuários para sites falsos.

Question 4

Como prevenir ARP Poisoning?

Answer 4

✔ Usar ARP estático → Definir manualmente os IPs e MACs confiáveis.
✔ Ativar DHCP Snooping → Impede respostas ARP não autorizadas em switches gerenciáveis.
✔ Habilitar ARP Inspection (DAI) → Bloqueia pacotes ARP suspeitos.
✔ Usar VPNs e TLS/SSL → Criptografa dados, dificultando a interceptação.
✔ Ferramentas de monitoramento (ex: ARPWatch) → Detecta atividades suspeitas na rede.

Question 5

Os ataques de DNS incluem os seguintes:

Answer 5

Ataques de resolvedor aberto de DNS
Ataques furtivos de DNS
Ataques de sombreamento de domínio DNS
Ataques de tunelamento de DNS

Question 6

Ataques de resolvedor aberto de DNS, o que é?

Answer 6

Muitas organizações usam os serviços de servidores DNS abertos ao público, como o GoogleDNS (8.8.8.8), para fornecer respostas às consultas. Esse tipo de servidor DNS é chamado de resolvedor aberto. Um resolvedor aberto de DNS responde a consultas de clientes fora de seu domínio administrativo.

Question 7

Ataque DNS: Envenenamento de Cache DNS (DNS Poisoning ou DNS Spoofing)

Answer 7

📌 Como funciona?

O atacante injeta respostas DNS falsas em um servidor ou cache DNS.
Usuários são redirecionados para sites falsos sem perceber.
Usado para phishing, roubo de credenciais e instalação de malwares.

🔹 Prevenção:
✔ Usar DNSSEC (protege contra alterações maliciosas).
✔ Evitar servidores DNS públicos inseguros.
✔ Limitar o tempo de cache de respostas DNS.

Question 8

Ataque DNS: Ataque de Amplificação DNS (DDoS com Reflexão)

Answer 8

📌 Como funciona?

O atacante falsifica o IP da vítima e envia pequenas requisições DNS para servidores públicos.
Os servidores respondem com respostas DNS muito maiores, sobrecarregando a rede da vítima.

🔹 Prevenção:
✔ Configurar servidores DNS para não responderem a consultas abertas.
✔ Implementar Rate Limiting para limitar requisições suspeitas.
✔ Usar firewalls para bloquear tráfego suspeito.

Question 9

Ataque DNS: Sequestro de DNS (DNS Hijacking)

Answer 9

📌 Como funciona?

O atacante compromete servidores DNS ou configurações do roteador/vítima.
O tráfego do usuário é redirecionado para sites falsos sem alterar o cache DNS.

🔹 Prevenção:
✔ Configurar senhas fortes para roteadores e atualizar firmwares.
✔ Usar servidores DNS confiáveis (ex: Cloudflare, Google, OpenDNS).
✔ Monitorar logs DNS para detectar anomalias.

Question 10

Ataque DNS: Tunneling de DNS (DNS Tunneling)

Answer 10

📌 Como funciona?

O atacante usa requisições DNS para transmitir dados maliciosos ou contornar firewalls.
Pode ser usado para exfiltração de dados ou comunicação de malwares.

🔹 Prevenção:
✔ Monitorar tráfego DNS com ferramentas de detecção de anomalias.
✔ Bloquear domínios suspeitos e analisar padrões incomuns.

Question 11

Ataque furtivo de DNS: Fast Flux DNS

Answer 11

📌 Como funciona?

O atacante usa múltiplos endereços IP rotativos associados a um mesmo domínio malicioso.
Cada vez que um usuário faz uma consulta DNS, recebe um IP diferente da botnet controlada pelo atacante.
Usado para hospedar malwares, phishing e C&C (Command and Control).

🔹 Prevenção:
✔ Monitorar domínios com muitas mudanças de IP em curto prazo.
✔ Bloquear domínios suspeitos usando Threat Intelligence.

Question 12

Ataque furtivo de DNS: Domain Generation Algorithm (DGA)

Answer 12

📌 Como funciona?

Malwares geram milhares de domínios aleatórios e tentam se conectar ao servidor do atacante.
Evita bloqueio de IP estático e mantém comunicação com o C&C.
Usado por malwares como Conficker, Zeus e Necurs.
🔹 Prevenção:
✔ Usar inteligência artificial e listas de domínios suspeitos para bloqueio.
✔ Monitorar padrões de consulta DNS com ferramentas SIEM/SOAR.

Question 13

Ataque furtivo de DNS: DNS Tunneling

Answer 13

📌 Como funciona?

O atacante codifica dados maliciosos dentro de consultas e respostas DNS.
Pode ser usado para exfiltrar dados sigilosos ou burlar firewalls.
Ferramentas populares: Dnscat2, Iodine, DNS2TCP.

🔹 Prevenção:
✔ Monitorar tráfego DNS para padrões anômalos.
✔ Bloquear consultas DNS para domínios suspeitos.

Question 14

Ataque furtivo de DNS: Subdomain Enumeration Attack

Answer 14

📌 Como funciona?

O atacante envia milhares de consultas DNS para subdomínios aleatórios de um alvo.
Objetivo: exaurir caches DNS, detectar infraestrutura oculta ou causar DoS no servidor DNS.
Usado para coletar informações antes de um ataque maior.

🔹 Prevenção:
✔ Configurar limites de requisições DNS (Rate Limiting).
✔ Usar WAF e firewall para bloquear padrões de varredura.

Question 15

Ataque furtivo de DNS: Phantom Domain Attack

Answer 15

📌 Como funciona?

O atacante configura domínios que nunca respondem consultas DNS.
Faz com que servidores DNS fiquem esperando por respostas, causando lentidão.
Usado para atrasar resoluções DNS e prejudicar a performance da rede.

🔹 Prevenção:
✔ Monitorar tempo de resposta DNS para identificar anomalias.
✔ Configurar timeouts menores em servidores DNS.

Question 16

O que é o ataque de tunelamento DNS?

Answer 16

Os agentes de ameaças que usam o tunelamento DNS colocam tráfego que não é de DNS, dentro do tráfego DNS. Esse método geralmente contorna soluções de segurança. Para que o agente da ameaça use o túnel DNS, os diferentes tipos de registros DNS, como TXT, MX, SRV, NULL, A ou CNAME, são alterados. Por exemplo, um registro TXT pode armazenar os comandos enviados para os bots de host infectados como respostas DNS.

Question 17

Como detectar o ataque de tunelamento de DNS?

Answer 17

Para poder interromper o túnel DNS, um filtro que inspecione o tráfego DNS deve ser usado. Preste atenção especial às consultas DNS que são mais longas do que a média, ou aquelas que têm um nome de domínio suspeito. Além disso, as soluções de segurança de DNS, como Cisco Umbrella (anteriormente Cisco OpenDNS), bloqueiam grande parte do tráfego de túnel DNS ao identificar domínios suspeitos. Domínios associados a serviços DNS dinâmicos devem ser considerados altamente suspeitos.

Question 18

Ataque de falsificação de DHCP:

Answer 18

Um ataque de spoofing de DHCP ocorre quando um servidor DHCP invasor está conectado à rede e fornece falsos parâmetros de configuração IP aos clientes legítimos. Um servidor não autorizado pode fornecer uma variedade de informações enganosas.

Question 19

Ataque de falsificação DHCP: Gateway padrão errado

Answer 19

Gateway padrão errado - O ator da ameaça fornece um gateway inválido ou o endereço IP de seu host para criar um ataque MiTM. Isso pode não ser totalmente detectado, pois o invasor intercepta o fluxo de dados pela rede.

Question 20

Ataque de falsificação DHCP: Servidor DNS errado

Answer 20

Servidor DNS errado - O agente de ameaças fornece um endereço de servidor DNS incorreto, apontando o usuário para um site malicioso.

Question 21

Ataque de falsificação DHCP: Endereço IP errado

Answer 21

Endereço IP errado- O agente de ameaças fornece um endereço IP inválido, um endereço IP de gateway padrão inválido ou ambos. O agente de ameaça cria um ataque de negação de serviço no cliente DHCP.

Question 22

Estes são os estágios comuns de um ataque típico da web:

Answer 22

1 - A vítima visita inconscientemente uma página web que foi comprometida por malware.
2 - A página Web comprometida redireciona o usuário, muitas vezes através de muitos servidores comprometidos, para um site contendo código malicioso.
3 - O usuário visita e seu computador fica infectado. Isso é conhecido como uma unidade por download. Quando o usuário visita o site, um kit de exploração verifica o software em execução no computador da vítima, incluindo o sistema operacional, Java ou Flash player que procura uma exploração no software. O kit de exploração geralmente é um script PHP e fornece ao invasor um console de gerenciamento para gerenciar o ataque.
4 - Depois de identificar um pacote de software vulnerável em execução no computador da vítima, o kit de exploração entra em contato com o servidor do kit de exploração para baixar código que pode usar a vulnerabilidade para executar código mal-intencionado no computador da vítima.
5 - Depois que o computador da vítima foi comprometido, ele se conecta ao servidor de malware e baixa uma carga útil. Isso pode ser malware ou um serviço de download de arquivos que baixa outro malware.
O último pacote de malware é executado no computador da vítima.

Question 23

Para se defender contra ataques baseados na web, as seguintes contramedidas devem ser usadas:

Answer 23

Sempre atualize o sistema operacional e os navegadores com patches e atualizações atuais.

Use um proxy da Web como o Cisco Cloud Web Security ou o Cisco Web Security Appliance para bloquear sites mal-intencionados.

Use as melhores práticas de segurança do Open Web Application Security Project (OWASP) ao desenvolver aplicativos Web.

Educar os usuários finais mostrando-lhes como evitar ataques baseados na Web.

Question 24

Ataque HTTP: IFrames maliciosos

Answer 24

s atores de ameaças costumam usar quadros inline maliciosos (iFrames). Um iFrame é um elemento HTML que permite que o navegador carregue outra página da Web a partir de outra fonte. Os ataques de iFrame tornaram-se muito comuns, pois são frequentemente usados para inserir anúncios de outras fontes na página. Os atores de ameaças comprometem um servidor da Web e modificam páginas da Web adicionando HTML para o iFrame malicioso. O HTML vincula ao servidor da web do ator da ameaça. Em alguns casos, a página IFrame carregada consiste em apenas alguns pixels. Isso torna muito difícil para o usuário ver. Como o iFrame é executado na página, ele pode ser usado para fornecer uma exploração mal-intencionada, como publicidade de spam, um kit de exploração e outros malwares.

Question 25

Ataque HTTP: Amortecimento HTTP 302

Answer 25

O amortecimento HTTP 302 ocorre quando há um uso indevido do código de status HTTP 302 Found, que indica um redirecionamento temporário.

Um invasor pode explorar o redirecionamento 302 para armazenar respostas em cache (quando não deveria), levando a ataques como:

Manipulação de cache: O atacante faz com que navegadores ou proxies armazenem redirecionamentos inválidos.

Phishing: O usuário é redirecionado para um site malicioso sem perceber.

Question 26

Ataque HTTP: Sombreamento de domínio

Answer 26

O sombreamento de domínio (domain shadowing) é uma técnica usada por invasores para criar subdomínios maliciosos em domínios legítimos comprometidos, sem o conhecimento do dono do site.

⚠️ Como funciona?
O atacante compromete credenciais de DNS do domínio legítimo.
Cria vários subdomínios (exemplo.meiobancolegitimo.com) para hospedar malware ou phishing.
Usa esses subdomínios para enganar usuários ou contornar filtros de segurança.

Question 27

Ameaças de e-mail: Ataques baseados em anexos

Answer 27

Os agentes de ameaças incorporam conteúdo malicioso em arquivos de negócios, como um e-mail do departamento de TI. Usuários legítimos abrem conteúdo malicioso. O malware é usado em ataques amplos, muitas vezes visando uma vertical de negócios específica para parecer legítima, atraindo usuários que trabalham nessa vertical para abrir anexos ou clicar em links incorporados.

Question 28

Ameaças de e-mail: Falsificação de e-mails

Answer 28

Os atores de ameaças criam mensagens de e-mail com um endereço de remetente falsificado que visa enganar o destinatário a fornecer dinheiro ou informações confidenciais.

Question 29

Ameaças de e-mail: E-mail de spam

Answer 29

Os agentes de ameaças enviam e-mails não solicitados contendo anúncios ou arquivos mal-intencionados. Esse tipo de e-mail é enviado com mais frequência para solicitar uma resposta, informando ao ator da ameaça que o e-mail é válido e que um usuário abriu o spam.

Question 30

Ameaças de e-mail: Servidor de retransmissão de email aberto

Answer 30

Os atores de ameaças aproveitam os servidores corporativos configurados incorretamente como retransmissores de email abertos para enviar grandes volumes de spam ou malware para usuários desavisados. O retransmissor de email aberto é um servidor SMTP que permite que qualquer pessoa na internet envie e-mails. É importante que os servidores de e-mail corporativos nunca sejam configurados como uma retransmissão aberta. Isso reduzirá consideravelmente a quantidade de e-mails não solicitados.

Question 31

Ameaças de e-mail: Homoglifos

Answer 31

Os atores de ameaças podem usar caracteres de texto muito semelhantes ou até mesmo idênticos aos caracteres de texto legítimos. Por exemplo, pode ser difícil distinguir entre um O (letra maiúscula O) e um 0 (número zero) ou um l (minúsculo “L”) e um 1 (número um). Eles podem ser usados em e-mails de phishing para torná-los muito convincentes. No DNS, esses caracteres são muito diferentes do real. Quando o registro DNS é pesquisado, um URL completamente diferente é encontrado quando o link com o homoglifo é usado na pesquisa.

Question 32

Ataque injeção de SQL:

Answer 32

O ataque de injeção SQL consiste em inserir uma consulta SQL através dos dados de entrada do cliente para o aplicativo. Uma exploração de injeção SQL bem-sucedida pode ler dados confidenciais do banco de dados, modificar dados do banco de dados, executar operações de administração no banco de dados e, às vezes, emitir comandos para o sistema operacional.

Question 33

Ataque Cross-Site Scripting (XSS)

Answer 33

📌 O que é?
Permite ao atacante injetar scripts maliciosos (geralmente JavaScript) em páginas web, enganando usuários para roubar cookies ou redirecionar para sites falsos.

📌 Exemplo:
Usuário insere:

html
Copiar código

alert('Você foi hackeado!');

Se a aplicação não sanitizar a entrada, o script será executado no navegador da vítima.

Question 34

Estes são os dois tipos principais de XSS:

Answer 34

Armazenado (persistente) — Isso é armazenado permanentemente no servidor infectado e é recebido por todos os visitantes da página infectada.
Refletido (não persistente) — Isso requer apenas que o script mal-intencionado esteja localizado em um link e os visitantes devem clicar no link infectado para se infectarem.