Módulo 14_Ameaças e ataques comuns Flashcards
(40 cards)
Tipo de Trojan: Acesso remoto
Permite acesso remoto não autorizado.
Tipo de Trojan: Envio de dados.
Fornece dados confidenciais, como senhas, com frequência estipulada pelo criminoso.
Tipo de Trojan: Destrutivo.
Corrompe ou exclui arquivos.
Tipo de Trojan: Proxy.
Usa com disp. final da vítima como disp. de origem para lançar ataques e realizar outras atividades ilegais.
Tipo de Trojan: FTP.
Habilida serviços de transferência de arquivos não autorizados em dispositivos finais.
Tipo de Trojan: Desativador de software de segurança.
Impede o funcionamento de programas antivírus ou firewalls.
Tipo de Trojan: Negação de serviço (DoS).
Retarda ou interrompe a atividade da rede.
Tipo de Trojan: Agentes de log de digitação.
Rouba informações confidenciais gravando as teclas digitadas em um formulário web.
Worms tornaram-se mais sofisticados ao longo do tempo, mas eles ainda tendem a ser baseados na exploração de fraquezas em aplicativos de software. Qual é a forma padrão mais comum de um WORM?
Habilitando vulnerabilidade - Um worm se instala usando um mecanismo de exploração, como um anexo de e-mail, um arquivo executável ou um cavalo de Tróia, em um sistema vulnerável.
Mecanismo de propagação - Depois de obter acesso a um dispositivo, o worm se replica e localiza novos alvos.
Carga útil - Qualquer código malicioso que resulte em alguma ação é uma carga útil. Na maioria das vezes, isso é usado para criar um backdoor que permite a um ator de ameaça acessar o host infectado ou criar um ataque DoS.
Os computadores infectados com malware geralmente apresentam um ou mais dos seguintes sintomas:
Aparência de arquivos, programas ou ícones da área de trabalho estranhos
Programas antivírus e de firewall estão desativando ou reconfigurando configurações
A tela do computador está congelando ou o sistema está travando
E-mails são enviados espontaneamente sem o seu conhecimento para a sua lista de contatos
Os arquivos foram modificados ou excluídos
Maior uso da CPU e/ou da memória
Problemas de conexão a redes
Velocidade lenta do computador ou do navegador da Web
Processos ou serviços desconhecidos em execução
Portas TCP ou UDP desconhecidas abertas
Conexões são feitas para hosts na Internet sem ação do usuário
Um ataque de reconhecimento de rede é análogo a um ladrão que inspeciona um bairro indo de porta em porta fingindo vender alguma coisa. O que o ladrão está realmente fazendo é procurando casas vulneráveis, como residências desocupadas, residências com portas ou janelas fáceis de abrir e residências sem sistemas de segurança ou câmeras de segurança.
VERDADEIRO OU FALSO
Verdadeiro
Os atores de ameaças usam ataques de reconhecimento (ou recon) para fazer descobertas e mapeamentos não autorizados de sistemas, serviços ou vulnerabilidades. Os ataques Recon precedem ataques de acesso ou ataques DoS.
Técnica de ataque de rede: Consulta de informações do alvo
Informações pública, redes sociais, informações de domínio (whois)..
Técnica de ataque de rede: ping da rede destino
Assim se descobre quais endereços IP estão ativos.
Técnica de ataque de rede: verificação de porta nos endereços IP ativos
Determinar as portas ou serviços que estão disponíveis. Ex. scanners: Nmap, SuperScan, Angry IP Scanner e NetScanTools.
Técnica de ataque de rede: Scanner de vulnerabilidades
Consulta as portas identificadas para determinar o tipo e a versão do aplicativo e do sistema operacional que está sendo executado. Ex. de scanner: Nipper Secuna PSI, Core Impact, Nessus v6, SAINT, Oen VAS.
Técnica de ataque de rede: ferramentas de exploração
Explorar serviços vulneráveis. Ex. de ferramentas: Metasploit, Core Impact, Sqlmap, Social Engineer, Toolkit, Netsparker.
Um ataque de negação de serviço (DoS) cria algum tipo de interrupção dos serviços de rede para usuários, dispositivos ou aplicativos. Existem dois tipos principais de ataque de negação de serviço (DoS):
Grande quantidade de tráfego - O agente de ameaças envia uma enorme quantidade de dados a uma taxa que a rede, host ou aplicativo não pode manipular. Isso faz com que os tempos de transmissão e resposta diminuam. Também pode travar um dispositivo ou serviço.
Pacotes maliciosamente formatados - O invasor envia um pacote formatado maliciosamente para um host ou aplicativo e o receptor não consegue manipulá-lo. Isso causa lentidão ou falha na execução do dispositivo receptor.
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), porém é originado por várias fontes coordenadas. Exemplifique.
Por exemplo, um agente de ameaça cria uma rede de hosts infectados, conhecidos como zumbis. O agente de ameaças usa um sistema de comando e controle (CnC) para enviar mensagens de controle aos zumbis. Os zumbis constantemente examinam e infectam mais hosts com malware bot. O malware bot é projetado para infectar um host, tornando-o um zumbi que pode se comunicar com o sistema CnC. Um grupo de zumbis é chamada de botnet. Quando pronto, o agente de ameaça instrui o sistema CnC a fazer com que o botnet de zumbis execute um ataque DDoS.
Aqui está um resumo dos componentes principais de um ataque DDoS (Distributed Denial of Service):
Botnets: Uma rede de dispositivos infectados (bots) que são controlados por um atacante. Esses dispositivos são usados para gerar um tráfego massivo contra um alvo específico.
Controlador (Command and Control, C&C, handlers): O centro de comando que coordena os bots na botnet. O controlador (botmaster) envia instruções para os bots sobre quando e como lançar o ataque.
Amplificadores: Alguns ataques DDoS utilizam servidores de terceiros mal configurados para amplificar o volume de tráfego enviado à vítima. Isso torna o ataque mais potente sem depender exclusivamente dos bots.
Vectores de Ataque: Diferentes métodos para sobrecarregar a vítima, como ataques de volume (enviando grandes quantidades de dados), ataques de protocolo (explorando vulnerabilidades de protocolos) ou ataques de aplicação (visando camadas específicas do software).
O objetivo de um ator de ameaça ao usar um ataque DoS de estouro de buffer é encontrar uma falha relacionada à memória do sistema em um servidor e explorá-la. Explorar a memória do buffer sobrecarregando-a com valores inesperados geralmente torna o sistema inoperável, criando um ataque DoS.
VERDADEIRO OU FALSO
Verdadeiro
Por exemplo, um ator de ameaça insere entrada maior do que o esperado pelo aplicativo em execução em um servidor. O aplicativo aceita a grande quantidade de entrada e armazena na memória. O resultado é que ele pode consumir o buffer de memória associado e potencialmente substituir a memória adjacente, eventualmente corrompendo o sistema e fazendo com que ele falhe.
Observação: Estima-se que um terço dos ataques mal-intencionados sejam o resultado de estouros de buffer.
Um Ping of Death é um tipo de ataque de negação de serviço (DoS) onde um invasor envia um pacote de dados ICMP (ping) de tamanho excessivo para um sistema alvo. Esses pacotes são fragmentados para transitarem pela rede e, ao serem recombinados no destino, se excederem o limite permitido, podem causar um estouro de buffer.
VERDADEIRO OU FALSO
Verdadeiro
Isso pode resultar em travamentos, reinicializações ou instabilidade do sistema, levando a uma negação de serviço.
Método de evasão: Ofuscação
Técnica que altera a aparência do código malicioso para dificultar a análise e a detecção por softwares de segurança. Exemplos incluem cifrar o código ou usar técnicas de empacotamento.
Método de evasão: Polimorfismo
O malware se modifica cada vez que infecta um novo sistema, gerando variações únicas que dificultam a detecção por assinaturas de antivírus.
Método de evasão: metamorfismo
Similar ao polimorfismo, mas mais avançado. O malware reescreve seu próprio código sem alterar seu comportamento, criando versões distintas que são difíceis de detectar.
