teste INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS 6

Prévia do material em texto

Porque é importante entender a infraestrutura relacionada a um IOC?
	
	
	
	Porque a infrastrutura pode conter IPs de outros paises
	
	
	Entender a infrastrutura de um IOC não é importante
	
	
	Porque a infrastruturta pode tambem estar sendo usada para fins legitimos 
	
	
	Porque a infrastrutura pode não ser maliciosa
	
	
	Porque a infrastrutura pode armazenar diferentes logs
	
Explicação:
A infrastrutura de um IOC pode nos dizer muito sobre o IOC, como se ele compartilha sites com outras organizações, se o IP é utiulizado para outra função, etc...tudo isso contribui para a analise.
	
	
	
	 
		
	
		2.
		Porque um contexto é importante quando se avalia um IOC?
	
	
	
	Para facilitar a busca em base de dados
	
	
	Para melhor organização dos logs.
	
	
	Para evitar falso positivos em analises
	
	
	Nenhuma das alternativas está correta.
	
	
	Para criação de regras de IDS
	
Explicação:
O contexto em um IOC é extremamente importante para se evitar falso positivos durante a fase de analises.
	
	
	
	 
		
	
		3.
		De acordo com output do script VirusGotal abaixo:
./virusgotal url www.malwareishere.com.br
www.malwareishere.com.br scan results:
VirusTotal link: https://www.virustotal.com/url/2cc58e3243541f95e312c9e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 50/61
 
Mostra que:
	
	
	
	O site VirusTotal nao detectou o site malwareishere como malicioso.
	
	
	O site malwareishere foi detectado como malicioso por 50 programas de anti-virus
	
	
	O site malwareishere foi detectado como malicioso por 61 programas de anti-virus.
	
	
	O site malwareishere está infectado com 61 virus
	
	
	O site malwareishere está infectado com 50 virus
	
Explicação:
VirusTotal detectou o site malwareishere como malicioso por 50 de um total de 61 programas de anti-virus.
	
	
	
	 
		
	
		4.
		Quais as principais formas de se conseguir fontes de IOCs?
	
	
	
	Através de conferencias de segurança
	
	
	Através de Empresas de Segurança, Fontes Open Source e Honeypots próprios.
	
	
	Através de logs do wireshark
	
	
	Através de buscadores web
	
	
	Através de Artigos na internet
	
Explicação:
Existem 3 formas principais de se conseguir estas fontes/feeds, através de uma empresa de segurança de informações, através de fontes open source, através de honeypots próprios.
	
	
	
	 
		
	
		5.
		Porque a idade de um IOC é importante?
	
	
	
	Para colocar mais detalhes no relatorio
	
	
	Todos IOCs devem ter a mesma idade.
	
	
	Para poder realizar uma analise com o contexto correto
	
	
	Idade do IOC não é importante para uma analise
	
	
	Porque IOCs mais antigos tem mais credibilidade
	
Explicação:
A idade de um IOC é fundamental para se assinalar um nível de prioridade ou criticidade a algum evento.
	
	
	
	 
		
	
		6.
		Feeds de IOC podem conter Hashes de malware, lista de IPs , Lista de URL , Lista de Dominios maliciosos por exemplo. Qual outra informação pode conter em Feed de IOC?
	
	
	
	Regras de IDS
	
	
	Lista de versões de firmware de firewall
	
	
	Lista de Patches
	
	
	Versoes de Sistema Operacional
	
	
	Nenhuma outra informação esta presente em feeds de IOC
	
Explicação:
Regras de IDS é um outro tipo de feed que existe, para que fique facil para empresas implementarem regras para detectar trafego malicioso.
	
	
	
	 
		
	
		7.
		Ao realizar uma busca por um IOC no VirusTotal, o analista recebeu o seguinte resultado:
./virusgotal url www.olx.com.br
www.olx.com.br scan results:
VirusTotal link:
https://www.virustotal.com/url/2cc58e3243541f95e312c9
e5fafd7ed8d52792b37a8ef90a2b10d0ad05c8be3d/analysis/1572942604/
Detection ratio: 0/71
Esse resultado nos mostra que:
	
	
	
	O site OLX está infectado com 71 vírus.
	
	
	O site OLX foi detectado como malicioso por 71 programas de antivírus.
	
	
	Nenhuma das alternativas.
	
	
	A e B.
	
	
	O site OLX não foi detectado como malicioso por nenhum programa de antivírus.
	
Explicação:
O output da ferramenta mostra 0/71, ou seja, 0 (nenhum) antivírus dentre os 71 antivírus disponíveis no VirusTotal detectou o site como malicioso.