test

1. Señalar la respuesta correcta. Listando los procesos de una máquina, encontramos ejecutándose scvhost. ¿Puede ser un programa malicioso?. No, es un ejecutable propio de Windows. Puede serlo, si se ejecuta con PID 1337. Puede serlo, si no cuelga del proceso services.exe. Puede serlo, si no tiene ningún handle a Mutex.

¿Qué es una backdoor?. Una forma de entrar en la máquina de la víctima habiendo dejado una vulnerabilidad a propósito en ella. Un tipo de vulnerabilidad que permite al atacante tomar el control total de la máquina víctima. Un mecanismo de protección para la ejecución arbitraria de código. Una técnica de ataque en la que se capturan las pulsaciones de la máquina víctima y se envían al atacante.

Señalar la respuesta correcta. Un rootkit: Exclusivamente se puede detectar realizando un análisis de memoria. Se puede detectar mediante análisis diferencial de las respuestas del sistema operativo. Es indetectable, si sospechamos estar infectados con uno, hay que formatear. Se puede detectar porque impide iniciar sesión como administrador.

¿Cuál es la principal diferencia entre el footprinting y el fingerprinting?. El footprinting obtiene más información de la víctima si los conocimientos de esta en el área de la seguridad son escasos o nulos, mientras que el fingerprinting siempre encuentra la misma información. El nombre. El footprinting no necesita de conocimiento técnico, el fingerprinting sí. El footprinting no interacciona con la víctima mientras que el fingerprinting sí.

Señalar la respuesta correcta. ¿Qué es una sandbox en análisis de malware?. Un entorno de análisis que emula un sistema real incluyendo herramientas de monitorización. Un sistema para evitar que el malware ataque nuestras aplicaciones más críticas. Una técnica para enterrar el malware entre tantos datos, que no puede ejecutarse correctamente. Ninguna respuesta es correcta.

Los escaneos TCP ACK: No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). Fija los bits de FIN, PSH, y ACK flags. Utiliza sondeos UDP.

Señalar la respuesta incorrecta. Mecanismos de obtención del malware: Bajándolo de páginas de Internet. Robándolo a organizaciones cibercriminales. Capturándolo en una honeynet, honeypot y honeytokens. Capturándolo en una máquina infectada de la organización.

Señalar la respuesta correcta. Con respecto al análisis estático: Nunca debe utilizarse sobre muestras de ransomware. Cuando se realiza sobre software .NET requiere de un experto en instrucciones de ensamblador. Es una práctica imprescindible, porque permite ver cómo se comporta el malware en un entorno real. Es una práctica imprescindible, porque permite ver características del malware que no salen a la luz mediante un análisis dinámico.

¿Qué es el QRLJacking?. Consiste en el secuestro de un QRCode con el objetivo de obtener un beneficio por parte del atacante. Es el uso de la barra de direcciones para suplantarla. Es el uso de técnicas de codificación de caracteres con el objetivo de engañar al ojo del usuario. Es una técnica basada en el protocolo OAuth para conseguir autorizaciones del usuario y poder utilizar su cuenta.

Señalar la respuesta correcta. Detectamos que hay una muestra de malware porque aparece un proceso powershell colgando de un word. Es habitual el uso de cualquier producto de Microsoft dentro de Office. Todas son falsas. Eso no puede pasar, sólo pueden colgar procesos de exe o dll. Es una infección, a través de macros.

Indica qué afirmación es correcta respecto a UAC: Es una especie de usuario por defecto con doble personalidad (usuario y administrador) que se comporta siempre como usuario excepto cuando se le da permiso pasando por UAC. Una forma de eludir UAC es evitar que aparezca la petición de confirmación o credenciales. Una forma de eludir UAC es conseguir que un usuario sin privilegios disponga de los permisos para hacer lo que un administrador ya tiene concedido, sin UAC de por medio. Todas las afirmaciones son ciertas.

Indica cuál de las siguientes afirmaciones no es correcta sobre los ataques que se pueden realizar con Nmap. Se pueden realizar tanto sobre TCP como sobre UDP. El ataque TCP SYN envía un paquete con los flags SYN y ACK activados. El ataque TCP XMAS envía un paquete con más de 2 flags activados. El ataque TCP NULL envía un paquete con todos los flags desactivados.

Indica cuál de las siguientes afirmaciones es cierta. Nexpose es una herramienta de creación de payloads para Metasploit. Nexpose es una herramienta de fuzzing para aplicaciones. Nexpose es una herramienta de búsqueda de vulnerabilidades según una IP o un rango de ellas. Nexpose es una herramienta de explotación de vulnerabilidades.

¿Hay alguna forma de averiguar qué sistema operativo corre la máquina que hay al otro lado de un servidor?. Sí, mediante un ataque de banner. Todas las anteriores son ciertas. Sí, mandando una petición HTTP errónea. Sí, haciendo un escaneo de puertos.

¿Qué es la herramienta SET?. Es una herramienta para realizar ataques basados en las DNS. Ninguna de las anteriores. Es una herramienta para realizar el footprinting de servidores web. Es una herramienta para realizar ataques de ingeniería social.

¿Qué define la política de Nessus?. La programación temporal de la aplicación. Las máquinas objetivos que se van a escanear. El ámbito de la naturaleza del escaneo a analizar definiendo las pruebas que se ejecutarán. Ninguna de las anteriores son correctas.

Los escaneos TCP ACK: Fija los bits de FIN, PSH, y ACK flags. Utiliza sondeos UDP. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado.

¿Qué atributo de Metasploit hay que configurar para conseguir que un Meterpreter se conecte a una máquina en una conexión inversa?. THREADS. Ninguna de las anteriores. RHOST. LHOST.

Señalar la respuesta correcta. ¿Qué es una sandbox en análisis de malware?. Un entorno de análisis que emula un sistema real incluyendo herramientas de monitorización. Un sistema para evitar que el malware ataque nuestras aplicaciones más críticas. Una técnica para enterrar el malware entre tantos datos, que no puede ejecutarse correctamente. Ninguna respuesta es correcta.

Qué objetivo tiene la explotación local. Se persigue la instalación de software malicioso para el control remoto de la víctima. Se basa en la manipulación de los ficheros de sistema. Uno de los principales fines de la expolotación local es la escalada de privilegios. Mediante la explotación local se persigue abrir puertos en la máquina atacada.

Señalar la respuesta incorrecta. Los principales objetivos de una botnet son: Control de otro tipo de malware de tipo silencioso como las APT. Ataques distribuidos a otros sistemas, mediante denegación de servicio DDoS. Proporcionar a los anunciantes información sobre hábitos de navegación de los usuarios. Robo de información corporativa, clasificada, credenciales de acceso o la relacionada para realizar estafas económicas.

Señalar la respuesta incorrecta. Los principales requisitos de una honeynet son: Adaptación de datos: proporcionar un repositorio estandarizado de datos sobre el malware capturado. Control de datos: mecanismo que se encarga de mitigar o bloquear todo riesgo que se produzca desde los Honeypots hacia las redes externas. Recolección y análisis de datos: consiste en la implantación de un sistema centralizado de recogida y análisis de datos de una red de honeynet distribuida en múltiples puntos. Captura de datos: consiste en la captura de datos y la monitorización de la actividad de los atacantes.

El punycode es... una codificación. una técnica de explotación. una inyección SQL. un lenguaje de programación.

Indica cuál de las siguientes afirmaciones no es correcta sobre los ataques que se pueden realizar con Nmap. El ataque TCP XMAS envía un paquete con más de 2 flags activados. El ataque TCP NULL envía un paquete con todos los flags desactivados. El ataque TCP SYN envía un paquete con los flags SYN y ACK activados. Se pueden realizar tanto sobre TCP como sobre UDP.

Señalar la respuesta incorrecta. Beneficios del análisis de malware. Obtención de datos necesarios para poder implementar defensas. Ninguna de las anteriores. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener la actualización del software que la mitigue, si está disponible. Descubrir otras máquinas que han sido afectadas por el mismo malware.

Señalar la respuesta correcta. El mecanismo que se encarga de mitigar o bloquear todo riesgo que se produzca desde los Honeypots hacia las redes externas, al objeto de impedir que la Honeynet sea usada por un ciberatacante como herramienta de ataque hacia otros sistemas de producción de la organización o Internet se denomina: Captura de datos. Recolección y análisis de datos. Ninguna de las anteriores. Control de datos.

Indica cuál de las siguientes afirmaciones es cierta: Maltego es una herramienta para realizar fingerprinting. Maltego es una herramienta para realizar footprinting. Maltego es una herramienta para realizar ingeniería social. Ninguna de las anteriores.

Señalar la respuesta incorrecta. Vectores de infección del malware. Redes Peer-To-Peer (P2P). Servicios de red vulnerables. Correos electrónicos. File dropper.

Los escaneos TCP ACK. Fija los bits de FIN, PSH, y ACK flags. Utiliza sondeos UDP. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado.

Señalar la respuesta incorrecta. Los honeypot de baja iteracción. Capturan mucha información. Dependen de su sistema de clasificación y análisis para evaluarlo. Suponen un menor riesgo. Emulan servicios y vulnerabilidades de sistemas. Servicios reales, sistemas operativos o aplicaciones reales.

¿Hay alguna forma de averiguar qué sistema operativo corre la máquina que hay al otro lado de un servidor?. Sí, mandando una petición HTTP errónea. Todas las anteriores son ciertas. Sí, mediante un ataque de banner. Sí, haciendo un escaneo de puertos.

Señalar la respuesta correcta. Con respecto al análisis estático:: Nunca debe utilizarse sobre muestras de ransomware. Cuando se realiza sobre software .NET requiere de un experto en instrucciones de ensamblador. Es una práctica imprescindible, porque permite ver cómo se comporta el malware en un entorno real. Es una práctica imprescindible, porque permite ver características del malware que no salen a la luz mediante un análisis dinámico.

Los escaneos TCP ACK: No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado. Utiliza sondeos UDP. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). Fija los bits de FIN, PSH, y ACK flags.

¿Qué define la política de Nessus?. Las máquinas objetivos que se van a escanear. Ninguna de las anteriores son correctas. El ámbito de la naturaleza del escaneo a analizar definiendo las pruebas que se ejecutarán. La programación temporal de la aplicación.

Los escaneos TCP CONNECT. Son un método de sondeo avanzado que permite hacer un sondeo de puertos TCP a ciegas de verdad. Se completan las conexiones para abrir los puertos objetivo en lugar de realizar el reseteo de la conexión medio abierta como hace el sondeo SYN. Se ejecutan mediante la opción --scanflags y permite diseñar el propio sondeo mediante la especificación de banderas TCP arbitrarias. Es igual al sondeo SYN pero aprovecha de un detalle de implementación de algunos sistemas que permite diferenciar puertos abiertos de los cerrados.

Señalar la respuesta correcta. ¿Cómo se denomina al Gateway de entrada de una Honeynet?. Honeywall. Ninguna de las anteriores. Honeypot. Control de datos.

Señalar la respuesta correcta. El análisis que básicamente consiste en la búsqueda en un archivo de texto ASCII, Unicode, o de ambos tipos, se denomina: Análisis de Código. Análisis de Cadenas. Análisis Comportamiento. Análisis Dinámico.

Señalar la respuesta correcta. La herramienta Md5summer en que grupo de clasificación de Herramientas de Análisis de Malware se ha encuadrado: Identificación y clasificación de binarios. Análisis de cadenas. Análisis de tráfico de red y simulación de servicios de red. Motores de antivirus.

Señalar la respuesta correcta. La forma predominante de malware que infecta las aplicaciones móviles es: Spyware. Gusano. Ransomware. Virus.

Señalar la respuesta correcta. ¿Cuál de las siguientes fases no lo es de la etapa de clasificación de metodología de análisis de malware?. Cadenas. Análisis de código. Obfuscación. Identificación.

Señalar la respuesta incorrecta. Acciones que el malware suele realizar sobre la máquina víctima. Degradación de rendimiento. Inestabilidad del sistema. Envío de correos personales. Modificación de archivos.

¿Hay alguna forma de averiguar qué sistema operativo corre la máquina que hay al otro lado de un servidor?,. Sí, mandando una petición HTTP errónea. Todas las anteriores son ciertas. Sí, mediante un ataque de banner. Sí, haciendo un escaneo de puertos.

Señalar la respuesta correcta. ¿Cuál es el nombre de la máquina cuyo objetivo es el proporcionar al malware una serie de protocolos para simular su entorno, tal y como pueden ser HTTP, DHCP, Chat, IRC Server, FTP, DNS y SMTP?. Servicios. Víctima. Monitorización y Servicios Windows. Ninguno de los anteriores.

4. Indica qué afirmación es correcta respecto a UAC: Una forma de eludir UAC es conseguir que un usuario sin privilegios disponga de los permisos para hacer lo que un administrador ya tiene concedido, sin UAC de por medio. Todas las afirmaciones son ciertas. Una forma de eludir UAC es evitar que aparezca la petición de confirmación o credenciales. Es una especie de usuario por defecto con doble personalidad (usuario y administrador) que se comporta siempre como usuario excepto cuando se le da permiso pasando por UAC.

Indica cuál de las siguientes afirmaciones no es cierta sobre The Harvester. Nos permite realizar gráficos de la organización según los resultados que encuentra. Busca información de páginas web como Google, Twitter o Linkedin. Realiza unas tareas similares a las de Maltego. Es una herramienta para obtener los correos de una persona o una entidad.

Señalar la respuesta correcta. VirusTotal se puede definir como: Método automático de análisis estático de código en línea. Un servicio de análisis de malware en línea. Método manual de análisis malware realizado en una máquina aislada no accesible desde Internet. Método automático de análisis dinámico de código.

Señalar la respuesta incorrecta. Los mecanismos de propagación del malware. Gusanos. Puertas traseras. Integración en espacios en vacios de ficheros. File dropper.

¿Cuáles son los principales problemas de los escaneos de puertos?. Genera mucho ruido y provoca muchas veces denegaciones de servicio. Provoca denegaciones de servicio y revela fácilmente la identidad del atacante. Revela la identidad del atacante con facilidad y ya hay muchos. Genera mucho ruido y ya hay muchos mecanismos que bloquean estos ataques y alertan de ellos.

¿Cuál es el propósito de la ingeniería social?. Desarrollar software de seguridad. Realizar auditorías de seguridad. Manipular a las personas para obtener información confidencial. Mejorar la comunicación interna en una organización.

Señalar la respuesta correcta. ¿Cuál es la herramienta que permite monitorizar el registro, sistema de ficheros, procesos, hilos de ejecución y DLL utilizadas en tiempo real?. Process monitor. Volatility. Systracer. Process Explorer.

¿Hay alguna forma de averiguar qué sistema operativo corre la máquina que hay al otro lado de un servidor?. Sí, haciendo un escaneo de puertos. Sí, mediante un ataque de banner. Sí, mandando una petición HTTP errónea. Todas las anteriores son ciertas.

Señalar la respuesta correcta. ¿Cuál de las siguientes herramientas se propone para simular el servicio de DNS en el laboratorio de análisis de malware?. F-prot. Binwalk. Inetsim. Netcat.

Señalar la respuesta correcta. ¿En qué fase de la metodología de análisis de malware se utiliza la herramienta Xdbg64?. Actividades iniciales. Clasificación. Análisis estático y dinámico de código. Análisis dinámico o de comportamiento.

Señalar la respuesta incorrecta. Los mecanismos de propagación del malware. Puertas traseras. Gusanos. Integración en espacios en vacios de ficheros. File dropper.

Señale la respuesta incorrecta. Pasos metodología análisis de malware: Análisis heurístico. Análisis dinámico. Clasificación. Actividades iniciales.

Indica cuál de las siguientes afirmaciones es cierta. Nexpose es una herramienta de fuzzing para aplicaciones. Nexpose es una herramienta de explotación de vulnerabilidades. Nexpose es una herramienta de búsqueda de vulnerabilidades según una IP o un rango de ellas. Nexpose es una herramienta de creación de payloads para Metasploit.

Señalar la respuesta correcta. La técnica de análisis de malware que trata de recoger la mayor cantidad de información posible sobre un binario sin llegar a ejecutarlo: Análisis de la memoria. Análisis dinámico o de comportamiento. Análisis estático de código. Análisis dinámico de código.

Señalar la respuesta correcta. El análisis que básicamente consiste en la búsqueda en un archivo de texto ASCII, Unicode, o de ambos tipos, se denomina: Análisis Dinámico. Análisis Comportamiento. Análisis de Código. Análisis de Cadenas.

Cuál es la principal diferencia entre el footprinting y el fingerprinting?. El footprinting obtiene más información de la víctima si los conocimientos de esta en el área de la seguridad son escasos o nulos, mientras que el fingerprinting siempre encuentra la misma información. El nombre. El footprinting no necesita de conocimiento técnico, el fingerprinting sí. El footprinting no interacciona con la víctima mientras que el fingerprinting sí.

¿Qué es una backdoor?. Una forma de entrar en la máquina de la víctima habiendo dejado una vulnerabilidad a propósito en ella. Un tipo de vulnerabilidad que permite al atacante tomar el control total de la máquina víctima. Un mecanismo de protección para la ejecución arbitraria de código. Una técnica de ataque en la que se capturan las pulsaciones de la máquina víctima y se envían al atacante.

Señalar la respuesta correcta. Uno de los principales inconvenientes del Sandbox es: Su coste económico es muy elevado. Realiza el desensamblado del archivo binario del malware de modo lineal. No detecta el tráfico de red originado por el malware. Sólo analizar una única ruta de ejecución, por lo que podrían pasar por alto comportamientos relevantes.

Señalar la respuesta correcta. La herramienta Md5summer en que grupo de clasificación de Herramientas de Análisis de Malware se ha encuadrado: Análisis de tráfico de red y simulación de servicios de red. Motores de antivirus. Análisis de cadenas. Identificación y clasificación de binarios.

Señalar la respuesta incorrecta. El tipo de información que se puede obtener del análisis estático como dinámico son: Comandos de mando y control. Ninguna de las anteriores. Canal IRC y contraseña de conexión. Funcionalidades ocultas.

Señalar la respuesta incorrecta. El análisis dinámico tiene como objetivo detectar en el sistema víctima las siguientes acciones: Descarga de archivos de Internet. Formato del archivo. Ordenes de mando y control. Detección de cambios del sistema de ficheros,.

Señalar la respuesta correcta. Que herramienta ayuda a los investigadores de malware a identificar y clasificar muestras de malware, creando descripciones de familias de malware basado en patrones de texto o binarios contenidos en las muestras de las familias. F-prot. RootkitRevealer. Yara. WinMD5.

¿Cuál es el propósito de un informe de vulnerabilidades en el contexto del hacking ético?. Compartir exploits con la comunidad. Atacar sistemas vulnerables. Documentar y explicar las vulnerabilidades encontradas. Ocultar información crítica.

Señalar la respuesta incorrecta. El análisis dinámico, consiste básicamente, en la ejecución del malware en un sistema víctima, observando al mismo tiempo su comportamiento y los cambios que puedan ocurrir en el mismo. Se debe disponer de las herramientas necesarias para captura las actividades y respuestas del malware, detectando en el sistema víctima las siguientes acciones: Byte de inicio de un socket (mediante un servidor TCP). Tráfico de red para comunicarse con otras máquinas (órdenes de mando y control). Análisis del código de las consultas al DNS. Cambios en el registro (por comparación de ficheros).

Señalar la respuesta correcta. ¿Qué instrucción de la herramienta volatility realiza la enumeración de procesos en ejecución?. volatility.exe -f pslist. volatility.exe -f kpcrscan. volatility.exe -f pstree. volatility.exe -f psxview.

Señalar la respuesta correcta. ¿Cuál de las siguientes herramientas se utiliza para detectar si un malware está empaquetado o comprimido?. WinHex. Processdump. PEiD. ProcDump32.

Si utilizamos la librería requests: Podemos automatizar ataques http. Podemos consultar stackoverflow desde la consola de python. Podemos mejorar la apariencia de una web de phishing ayudándonos de BeautifulSoup. Depuraremos programas mediante peticiones a gdb.

Las aplicaciones de Android: Pueden ejecutarse en Cydia. Están aisladas a través del sistema de permisos de Linux. Son compatibles con iOS. Corren aisladas en una sandbox virtual.