Security+ 501

Question 1

Recentemente um dos colaboradores recebeu um e-mail com um anexo, após abertura do anexo o computador começou a apresentar um comportamento suspeito.

Durante a análise você identificou que um dos programas do computador foi infectado pelo arquivo recebido e ele estava se replicando pela rede.

Qual categoria de malware tem esse tipo de comportamento?

A. Rootkit
B. Spyware
C. Worm
D. Vírus

Answer 1

D. Vírus



Um vírus de computador é um tipo de programa de software malicioso (malware) que quando executado, se replica ou infecta outros programas de computador modificando-os.

Question 2

Um dos colaboradores informou que vários arquivos do seu computador foram criptografamos e uma mensagem em sua tela informava que para recuperar os arquivos era necessário o pagamento de um resgate.



Qual das seguintes alternativas melhor descreve este tipo de malware?



A. Worm

B. Ransomware

C. Backdoor

D. Trojan

Answer 2

B. Ransomware

O Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de “resgate” para que o acesso possa ser reestabelecido.

Um exemplo deste tipo de ransomware é o WannaCry, que em 2017 infectou milhares de computadores utilizando um exploit para fazer a infecção e propagação.



O ransomware codifica arquivos de vários tipos, incluindo documentos do Office, fotos, vídeos, arquivos e outros formatos de arquivo que potencialmente contém dados críticos do usuário.

Question 3

Recentemente um dos colaboradores fez o download de um software de um site não confiável.

Após a instalação do software o computador começou a apresentar um comportamento suspeito com um alto consumo de memória e gerando vários alertas no antivírus.

Qual das seguintes alternativas melhor descreve este tipo de malware?

A. Cavalo de Troia
B. Vírus
C. Rootkit
D. Worm

Answer 3

A. Cavalo de Troia



O cavalo de troia (trojan) é um programa que tem um pacote de vírus que é usado geralmente para obter informações ou executar instruções em um determinado computador.

Geralmente ele é apresentado como um software útil para o usuário, mas o seu principal objetivo tem propósito malicioso ou prejudicial para o usuário.

Question 4

Você tem notado que existem algumas conexões abertas para fora da rede corporativa em um dos computadores do departamento Financeiro.

Após analisar os logs você encontrou as seguintes entradas:



WARNING - hash mismatch: C:\Windows\SysWOW64\user32.dll



WARNING - hash mismatch: C:\Windows\SysWOW64\kernel32.dll



Qual das seguintes alternativas melhor descreve este tipo de malware?



A. Worm


B. Virus


C. Cavalo de Troia


D. Rootkit

Answer 4

D. Rootkit

O Rootkit é um tipo de software, muitas das vezes malicioso, projetado para esconder a existência de certos processos ou programas de métodos normais de detecção e permitir contínuo acesso privilegiado a um computador.

Quando algum sistema operacional efetua um pedido de leitura de um arquivo, o rootkit intercepta os dados que são requisitados e faz uma filtragem dessa informação, deixando o sistema ler apenas arquivos não infectados.

Desta forma, o antivírus ou qualquer outra ferramenta fica impossibilitado de encontrar o arquivo malicioso.

Question 5

Você foi designado para avaliar um software para ser utilizado dentro da empresa.

Durante a avaliação do software você observou que ele exibia vários anúncios que poderia levar os usuários para sites não confiáveis.

Esse tipo de comportamento é encontrado em qual tipo de software?



A. Rootkit

B. Shareware

C. Adware

D. Freeware

Answer 5

C. Adware

O Adware é qualquer programa de computador que executa automaticamente e exibe uma grande quantidade de anúncios sem a permissão do usuário, o qual poderá levar o usuário para sites não confiáveis.

Question 6

Você está analisando um software que estava apresentando um comportamento suspeito em um dos computadores do departamento de vendas.

Você identificou que o software estava coletando e enviando informações do computador e do usuário para um site na internet.

Esse tipo de comportamento é encontrado em qual tipo de software?

A. Freeware

B. Spyware

C. Shareware

D. Adware

Answer 6

D. Spyware

O Spyware consiste em um programa de computador que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o conhecimento e consentimento do usuário.

Question 7

O administrador de rede informou que vários arquivos do servidor foram deletados sem qualquer ação dos colaboradores.

Você começou a investigação no servidor e observou que existe um código malicioso que foi programado para ser executado em uma determinada hora e dia para excluir os arquivos.

Qual das seguintes alternativas melhor descreve este tipo de software?

A. Backdoor
B. Rootkit
C. Worm
D. Bomba Lógica

Answer 7

D. Bomba Lógica

Um Logic Bomb ( Bomba Lógica) é um pedaço de código introduzido intencionalmente em um sistema de software que vai desencadear uma função maliciosa, se forem satisfeitas determinadas condições.

Por exemplo, um programador pode esconder um pedaço de código que começa a exclusão de arquivos.

Question 8

Durante uma análise de vulnerabilidades você descobriu que um dos servidores estava com um trojan instalado.

Existem algumas conexões abertas para a internet que provavelmente estava sendo usado para acesso remoto do atacante.

Esse tipo de comportamento é encontrado em qual tipo de software?

A. Rootkit
B. Backdoor
C. Adware
D. Worm

Answer 8

B. Backdoor

O Backdoor é um recurso utilizado por diversos malwares para garantir acesso remoto ao sistema ou à rede infectada, explorando falhas críticas não documentadas existentes em programas instalados, softwares desatualizados e do firewall para abrir portas do roteador.

Alguns backdoors podem ser explorados por sites maliciosos, através de vulnerabilidades existentes nos navegadores, para garantir acesso completo ou parcial ao sistema por um cracker, para instalação de outros malwares ou para o roubo de dados.

Question 9

Um dos colaboradores informou que recebeu um e-mail recentemente de uma operadora de cartão de crédito solicitando que ele atualizasse seus dados cadastrais.

O colaborador informou que clicou no link enviado no e-mail dele e foi direcionado para uma página parecida com a da operadora de cartão de crédito.

Após analisar o e-mail você identificou que o link direcionava para um site falso.

Qual o nome da técnica utilizada pelo atacante?

A. Phishing
B. Hoaxes
C. Vishing
D. Email Spoofing

Answer 9

A. Phishing

O Phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais.

O ato consiste em um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial.

Isto ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, entre outros.

Como o nome propõe (Phishing), é uma tentativa de um fraudador tentar “pescar” informações pessoais de usuários desavisados ou inexperientes.

Question 10

Um dos executivos informou que recebeu um e-mail recentemente do seu banco solicitando para atualizar seus dados cadastrais.

O executivo clicou no link enviado no e-mail e foi direcionado para uma página parecida com o site de banco, o qual solicitava várias informações pessoais incluindo o nome da empresa onde ele trabalhava.

Qual é o nome da técnica utilizada pelo atacante?

A. Spam
B. Hoaxes
C. Spear Phishing
D. Email Spoofing

Answer 10

C. Spear Phishing

O Spear Phishing traduz-se como um ataque de Phishing altamente localizado.

É um tipo de ataque que exige toda uma etapa minuciosa de pesquisa por parte dos atacantes, além de muita paciência.

Correlacionando ao nome “Phishing”, sua denominação pode ser entendida como algo semelhante à “pesca com arpão”.

Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda universidades, instituições governamentais, dentre outras).

Logo em seguida, inicia a etapa na qual o phisher sonda informações básicas de diferentes funcionários.

Aqui, explora-se uma grande falha humana: A incapacidade de avaliar corretamente a sensibilidade de uma informação.

Enquanto sozinha, esta informação pode não significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de alguém com mais poder na empresa.

Question 11

Recentemente um alto executivo recebeu um e-mail direcionado de phishing para tentar roubar suas informações.

Qual é o nome da técnica utilizada?

A. Email Spoofing
B. Impersonation
C. Vishing
D. Whaling

Answer 11

D. Whaling

Whaling são ataques de phishing dirigidos especificamente a altos executivos e outros alvos de alto perfil dentro da empresa, e o termo Whaling foi cunhado para esses tipos de ataques.

Question 12

Um dos colaboradores está reclamando que está recebendo várias ligações de supostas empresas de financiamento de crédito, as quais estão solicitando dados pessoais.

Qual é o nome da técnica utilizada pelo atacante?

A. Phishing
B. Email Spoofing
C. Vishing
D. Spear Phishing

Answer 12

C. Vishing

O Vishing é uma prática criminosa que utiliza engenharia social através da rede pública de telefonia com o objetivo de obter vantagens ilícitas como, por exemplo, realizar compras ou saques em nome da vítima.

As facilidades de Voz sobre IP (VoIP) são frequentemente utilizadas para obter acesso a informações pessoais ou financeiras privativas de pessoas físicas ou de empresas.

O termo em inglês é uma combinação entre as palavras voice e phishing.

O termo phishing foi derivado da imagem de uma pescaria, uma forma de fraude eletrônica caracterizada pelo envio de iscas que se fazem passar por pessoa ou empresa confiável com o objetivo de obter ilicitamente dados pessoais ou empresariais de terceiros.

Question 13

Durante uma auditoria interna você observou que alguns colaboradores estavam entrando na empresa sem utilizar crachá para liberação do acesso.

Qual o nome da técnica utilizada?

A. Tailgating
B. Replay
C. Shoulder Surfing
D. Dumpster Diving

Answer 13

A. Tailgating

Tailgating é o ato de uma pessoa não autorizada que segue alguém para uma área restrita sem o consentimento da pessoa autorizada, o termo utilização não autorizada também é usado.

Question 14

Recentemente um colaborador recebeu uma ligação de um suposto atendente de suporte pedindo para ele instalar um programa, mas na verdade era um atacante tentando enganar o colaborador para obter acesso remoto.

O seu gerente quer implementar um procedimento de segurança para evitar esse tipo de ataque.

Quando o usuário receber uma ligação do suporte ele fornecerá um código que é gerado randomicamente, o qual o usuário irá digitar o código em um aplicativo instalado no computador que irá validar que aquele atendimento está sendo realizado pelo suporte da empresa.

Após implementar essa solução qual dos seguintes ataques poderá ser evitado?

A. Tailgating
B. Pharming
C. Impersonation
D. Collusion

Answer 14

C. Impersonation

Impersonation é onde uma pessoa, computador, aplicativo ou serviço de software finge ser alguém ou alguma coisa que não é.

No entanto, também pode ser utilizado como uma ameaça à segurança.

Question 15

Durante a campanha de Conscientização de Segurança você explicou para os colaboradores a importância de manter a mesa limpa sem documentos que contenham informações confidenciais e como esses tipos de documentos devem ser descartados.

Seguindo essas recomendações qual tipo de ataque os colaboradores poderão evitar?

A. Replay
B. Shoulder Surfing
C. Spoofing
D. Dumpster Diving

Answer 15

D. Dumpster Diving

Dumpster diving é o termo usado para a ação de hackers que vasculham o lixo de empresas ou pessoal para descobrir informações para invadir mais facilmente os sistemas, como nomes de contas, senhas, informações pessoais e confidenciais.

Algumas informações importantes podem ser utilizadas para o planejamento de ataques, como lista telefônica corporativa, organograma, memorandos internos, manuais de política, calendários de reuniões, inventários de hardware, entre outros.

Question 16

A disgruntled administrator is fired for negligence at your organization.

Thirty days later, your organization’s internal file server and backup server crash at exactly the same time.

Examining the servers, it appears that critical operating system files were deleted from both systems.

If the disgruntled administrator was responsible for administering those servers during her employment, this is most likely an example of what kind of malware?

A. Crypto-malware
B. Trojan
C. Worm
D. Logic bomb

Answer 16

D. Logic Bomb

As both servers crashed at exactly the same time, this is most likely a logic bomb.

A logic bomb is a piece of code that sits dormant for a period of time until some event or date invokes its malicious payload — in this case, 30 days after the disgruntled employee was fired.

Question 17

A desktop system on your network has been compromised.

Despite loading different operating systems using different media on the same desktop, attackers appear to have access to that system every time it is powered up and placed on the network.

This could be an example of what type of rootkit?

A. Application
B. Kernel
C. Firmware
D. Virtual

Answer 17

C. Firmware

This is most likely a firmware rootkit, possibly in the video card or expansion card.

In the given scenario, the rootkit has to reside outside of the operating system and applications loaded on that system.

Question 18

A colleague has been urging you to download a new animated screensaver he has been using for several weeks.

While he is showing you the program, the cursor on his screen moves on its own and a command prompt window opens and quickly closes.

You can’t tell what if anything was displayed in that command prompt window.

Your colleague says “It’s been doing that for a while, but it’s no big deal.”

Based on what you’ve seen, you suspect the animated screensaver is really what type of malware?

A. A worm
B. A Trojan
C. Ransomware
D. Adware

Answer 18

B. A Trojan

The animated screensaver is most likely a Trojan.

The software appears to do one thing, but contains hidden, additional functionality.

Your colleague brought the Trojan “inside the walls” when he downloaded and installed the software on his desktop.

Question 19

Several desktops in your organization are displaying a red screen with the message:

“Your files have been encrypted.Pay 1 bitcoin to recover them.”

These desktops have most likely been affected by what type of malware?

A. Zotob worm
B. Adware
C. Ransomware
D. Rootkit

Answer 19

C. Ransomware

This is quite clearly ransomware.

The malware has encrypted files on the affected systems and is demanding payment for recovery of the files.

Question 20

While port scanning your network for unauthorized systems, you notice one of your file servers has TCP port 31337 open.

When you connect to the port with netcat, you see a prompt that reads:

“Enter password for access:”

Your server may be infected with what type of malware?

A. Virus
B. Cryptolocker
C. Backdoor
D. Spyware

Answer 20

C. Backdoor

This prompt most likely belongs to a backdoor—an alternate way of accessing the system.

The TCP service is listening for incoming connections and prompts for a password when connections are established.

Providing the correct password would grant command-line access to the system.

Question 21

A user in your organization is having issues with her laptop.

Every time she opens a web browser, she sees different pop-ups every few minutes.

It doesn’t seem to matter which websites are being visited—the pop-ups still appear.

What type of malware does this sound like?

A. Adware
B. Virus
C. Ransomware
D. BitLocker

Answer 21

A. Adware

This is classic adware behavior.

Unwanted pop-ups that appear during browsing sessions regardless of the website being viewed are very typical of adware.

Question 22

Your organization is struggling to contain a recent outbreak of malware.

On some of the PCs, your antivirus solution is able to detect and clean the malware.

On other PCs exhibiting the exact same symptoms, your antivirus solution reports the system is “clean.”

These PCs are all running the same operating system and same antivirus software.

What might be happening?

A. Your firewall rules are allowing attackers to backdoor those PCs.
B. The antivirus solution is reporting false negatives on some of the PCs.
C. The antivirus solution isn’t properly licensed on all systems.
D. Your systems are infected with polymorphic malware.

Answer 22

D. Your systems are infected with polymorphic malware.

This is most likely an infection with polymorphic malware.

Polymorphic malware is designed to change its own code on a regular basis, but retain the same functionality.

The changes in code are designed to mask the malware from signature-based detection.

The “clean” PCs in this example are still infected, but with a variant of the malware that no longer matches any signature in the antivirus solution.

Question 23

Malware engineers sometimes take steps to prevent reverse engineering of their code.

A virus, such as Zeus, that uses encryption to resist reverse engineering attempts is what type of malware?

A. Armored virus
B. Rootkit
C. RAT
D. Cryptolocker

Answer 23

A. Armored virus

An armored virus is a piece of malware specifically designed to resist reverse engineering attempts.

Zeus uses encryption in its attempts to prevent security researchers from learning how it works, how it communicates, and so on.

Question 24

A colleague can’t open any Word document he has stored on his local system.

When you force open one of the documents to analyze it, you see nothing but seemingly random characters.

There’s no visible sign the file is still a Word document. Regardless of what you use to view or open the Word documents, you don’t see anything but random characters.

Your colleague was most likely a victim of what type of malware?

A. Virus
B. Crypto-malware
C. RAT
D. Backdoor

Answer 24

B. Crypto-malware

If specific file types are no longer usable and seem to be nothing but strings of random characters, it’s likely your colleague was a victim of crypto-malware.

Crypto-malware encrypts files on a system to make them unusable to anyone without the decryption key.

Question 25

An employee at your organization is concerned because her ex-spouse “seems to know everything she does.”

She tells you her ex keeps accessing her e-mail and social media accounts even after she has changed her passwords multiple times.

She is using a laptop at home that was a gift from her ex.

Based on what you’ve been told, you suspect the laptop has what type of malware loaded on it?

A. Adware
B. Keylogger
C. Logic bomb
D. Ransomware

Answer 25

B. Keylogger

This is most likely a keylogger, a piece of software that records all keystrokes entered by the user.

If the ex was able to access the logs generated by the keylogger, he would be able to see the new passwords for e-mail and social media accounts as they were being changed.

Question 26

Users at your organization are complaining about slow systems.

Examining several of them, you see that CPU utilization is extremely high and a process called “btmine” is running on each of the affected systems.

You also notice each of the affected systems is communicating with an IP address outside your country on UDP port 43232.

If you disconnect the network connections on the affected systems, the CPU utilization drops significantly.

Based on what you’ve observed, you suspect these systems are infected with what type of malware?

A. Adware
B. Bot
C. Cryptolocker
D. Armored Virus

Answer 26

B. Bot

These systems are most likely infected with a bot and are now part of a botnet.

The systems are running an unknown/unauthorized process and communicating with an external IP address on UDP port 43232.

These are all classic signs of bots and botnet activity.

Question 27

A piece of malware is infecting the desktops in your organization.

Every hour more systems are infected.

The infections are happening in different departments and in cases where the users don’t share any files, programs, or even e-mails.

What type of malware can cause this type of infection?

A. Virus
B. RAT
C. BitLocker
D. Worm

Answer 27

D. Worm

This infection pattern is typical of a worm.

Worms are self-propagating and don’t require any human interaction to spread to additional systems.

Question 28

Which of the following could be an indicator of compromise?

A. Unusual outbound network traffic
B. Increased number of logins
C. Large numbers of requests for the same file
D. All of the above

Answer 28

D. All of the above

Unusual network traffic, additional logins, and large numbers of requests for the same file are all potential indicators of compromise. Individually, they could be considered suspicious, but seen together and affecting the same system would definitely warrant a deeper inspection of that system.

Question 29

You notice some unusual network traffic and discover several systems in your organization are communicating with a rather dubious “market research” company on a regular basis.

When you investigate further you discover that users of the affected systems all installed the same piece of freeware.

What might be happening on your network?

A. These users unwittingly installed spyware.
B. These systems are all infected with ransomware.
C. This could be normal behavior and nothing to worry about.
D. These systems are infected with logic bombs.

Answer 29

A. These useres unwittingly installed spyware.

If all the users installed the same piece of freeware, it is likely they are all infected with spyware.

Spyware records and reports user behavior and can do everything from recording keystrokes to monitoring web usage.

Spyware is often bundled with freeware.

Question 30

Which of the following are characteristics of remote-access Trojans?

A. They can be deployed through malware such as worms.
B. They allow attacks to connect to the system remotely. C. They give attackers the ability to modify files and change settings.
D. All of the above.

Answer 30

D. All of the above.

All of these are characteristics of remote-access Trojans (RATs).

RATs are often deployed through other malware, allow remote access to the affected system, and give the attacker the ability to manipulate and modify the affected system.