Hacking ético y análisis de malware

El hacking ético consiste en…. Tener los conocimientos fundamentales para determinar qué actividad informática es lícita y cuál no. Ser capaces de ejecutar cualquier actividad que suponga la explotación de un sistema con fines lucrativos. Ejecutar diferentes pasos que logren darnos información acerca de las vulnerabilidades de los sistemas con el beneplácito del atacado. El conjunto de leyes que regulan las actividades informáticas fraudulentas.

Las fases de un pentest son: Búsqueda de información, análisis de vulnerabilidades, explotación de vulnerabilidades y posexplotación. Recolección de información, análisis de información, explotación y posexplotación. Recolección de información, análisis de vulnerabilidades, explotación y borrado de huellas. Recopilación de información, análisis de exploits, explotación y posexplotación.

La fase de explotación consiste en…. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de vulnerabilidades. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector de ataque. Generar y ejecutar un vector de ataque que pueda evidenciar la vulnerabilidad potencial. Todas las anteriores son ciertas.

Un scriptkidie es…. Una persona que se encarga de aprender nuevos conocimientos de seguridad informática. Usuarios sin pretensión de aprender sobre seguridad informática pero que utiliza herramientas para explotar vulnerabilidades. Personas con acceso limitado a herramientas de seguridad que ejecutan manualmente vectores de ataque para explotar una vulnerabilidad. Todas las anteriores son incorrectas.

Las auditorías de caja blanca: Nos permiten ejecutar pruebas de seguridad con conocimientos limitados. Generan informes técnicos más completos que las demás. Se centran en pruebas sobre infraestructuras externas o componentes Wireless. Se realizan con la máxima información y accesos posibles del destino.

El RedTeam y el BlueTeam se caracterizan porque…. El Red Team está enfocado a la parte ofensiva y el Blue Team a la defensiva. Ambos se integran conjuntamente en sus actividades para retroalimentarse de tal manera que fomentan la seguridad de la compañía. El Read Team intenta conocer las vulnerabilidades y deficiencias de configuración que puedan a llegar tener los equipos de Blue Team. Todas las anteriores son ciertas.

El Llamamos APT a: Una Amenaza Persistente Avanzada. Un protocolo de comunicación alternativo a TCP. Los exploits utilizados en el contexto de la cyberwarfare. Es una herramienta de auditoría Blue Team.

Una de las tendencias actuales con respecto a APTs es: Ataque a las cadenas de suministro. Ataques de ransomware. Atacar desde Rusia. Tratar de posicionarse en el ranking de Mitre.

La fase de explotación consiste en…. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de vulnerabilidades. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector de ataque. Generar y ejecutar un vector de ataque que pueda evidenciar la vulnerabilidad potencial. Obtener acceso recurrente a la máquina o sistema explotado para no perder acceso a la red y poder realizar tareas de pivoting.

La fase de posexplotación consiste en…. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de vulnerabilidades. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector de ataque. Generar y ejecutar un vector de ataque que pueda evidenciar la vulnerabilidad potencial. Obtener acceso recurrente a la máquina o sistema explotado para no perder acceso a la red y poder realizar tareas de pivoting.

La ingeniería social puede llevarse a cabo en la fase de: Búsqueda de información. Análisis de vulnerabilidades. Explotación y posexplotación. Todas son correctas.

El footprinting es una técnica para encontrar y tiene por objeto: Búsqueda de datos públicos en Internet. Paso previo a la intrusión en un sistema operativo. Suplantar una identidad o phishing. Todas son correctas.

Dentro de la herramienta SET encontramos el módulo de Spear-Phishing Attack Vectors, el cual nos permite: Falsificar el remitente en un correo electrónico. Realizar campañas de phishing generando la suplantación automática de un panel de login. Monitorizar los resultados de una campaña de SET a través de los logs generados por la herramienta, pudiendo visualizar los usuarios impactados. Ninguna de las anteriores.

El footprinting nos permite conocer los siguientes datos: Versionado y tecnología del objetivo, tales como el Sistema Operativo y la tecnología de programación, aunque no estén expuestos a internet. Información de puertos abiertos y exploits asociados al servicio. Subdominios de un determinado dominio y nombres de servidores. Información de carpetas locales de los usuarios.

Google Hack es conocido como un método para hacer búsquedas avanzadas y conseguir mejores resultados, pero también puede ser utilizado como forma de: Encontrar páginas que tras ser probadas han quedado cacheadas en Google. Llevar a cabo footprinting. Método para buscar informaciones confidenciales y personales. Todas las anteriores son correctas.

Encuentra dentro de las siguientes sentencias cuál es la correcta: Link permite buscar enlaces de la palabra posterior a los dos puntos. Link puede dar fallos al ser utilizado conjuntamente con otros operadores. Intitle y link sirven para encontrar un dominio o sitio concreto. Link puede ser sustituido por varios operadores inurl para que su funcionamiento sea óptimo.

La fuerza bruta por DNS se deberá realizar: Usando Nslookup través de consultas HTTP GET y POST para poder rebosar la memoria de la caché y averiguar las DNS activas. Usando Nslookup con la orden set type = a y comprobar si existe la máquina preguntando el nombre al servidor DNS. Con Nslookup lanzaremos un fuzzing para obtener todas las llamadas entrantes y salientes del servidor DNS. A través de la funcionalidad de set type=ns de Nslookup obtendremos si existen las máquinas preguntando al servidor DNS.

La técnica de DNS Snooping consiste en: Falsificar las DNS para redirigir al sitio que el atacante quiera. Falsificar las DNS para realizar consultas a través de un proxy. Obtener información de las DNS con una consulta recursiva. Obtener información de las DNS con una consulta no recursiva.

Indica cuál de estas funciones no realiza Maltego: Busca correos electrónicos de una persona u organización. Crea mapas de información. Busca puertos abiertos en una máquina remota. Obtiene información sobre las DNS.

Las transferencias de zonas DNS: Siempre se llevará a cabo por el servidor DNS secundario para que el primario decida si lo acepta o no. Utiliza los registros PTR para realizar la resolución DNS. Utiliza Nslookup en modo de búsqueda de máquinas, con la orden «set type=a» y va preguntando nombre a nombre al servidor DNS si existe o no la máquina. Resetea todos los registros en caché para manipular a sus colindantes.

¿A qué no consideramos información útil a la hora de realizar un proceso de footprinting y fingerprinting?. Puertos UDP abiertos en una máquina. Hora de la última modificación de un documento. Versión del antivirus. Apodo del usuario que creó un documento.

Respecto a los diferentes tipos de escaneos de puertos con Nmap, indica cuál no es correcto: El escaneo TCP XMAS manda un paquete con tres flag a 1. El escaneo TCP IDLE requiere de una máquina «zombi». El ataque TCP ACK es el más utilizado. El ataque TCP NULL se utiliza exclusivamente para detectar puertos cerrados.

¿Cuál de los siguientes casos debe cumplirse con el escaneo TCP IDLE?. No se debe realizar conexiones TCP/IP mientras se realiza el escaneo. La máquina «zombi» tiene que tener un IPID diferente al IPID de la máquina objetivo. El IPID no será relevante siempre y cuando en envío de un SYN ACK sea incorrecto. Todas son correctas.

Los escaneos TCP FIN, NULL y Xmas... Sirven para obtener información acerca de puertos abiertos o cerrados. Los indicadores TCP establecidos en los paquetes de sondeo son diferentes. Son capaces de «bypassear» algunos firewalls. Todas son correctas.

Los escaneos TCP Connect y TCP ACK…. Inician la comunicación con el three way handshake y, una vez obtenida la información del estado del puerto, cierran con RST la comunicación. Inician la comunicación con el three way handshake pero en el caso del TCP ACK envía un RST antes de terminarlo. Ambos envían como primer datagrama un SYN/ACK para conocer el estado del puerto. Todas son correctas.

¿Cómo interpreta nmap que un puerto está cerrado en un escaneo TCP SYN?. Después de enviar la máquina atacante un SYN/ACK en respuesta a la máquina destino, si pasado un tiempo no hay respuesta. Después de enviar la máquina atacante un ACK en respuesta a la máquina destino, si el destino vuelve a responder con SYN/ACK. Después de enviar la máquina atacante un SYN/ACK en respuesta a la máquina destino, si el destino vuelve a responder con RST/ACK. Todas son incorrectas.

Los IPS o firewalls pueden: Filtrar la información y no dejarnos obtener información acerca de si la máquina tiene un puerto abierto o no. Arrojarnos información acerca de las consultas y peticiones que se realizan a través de ARP spoofing gracias al content type. Crear concurrencias inmersivas que permitan al escaneo TCP IDLE ser fructífero en cualquier entorno. Todas son incorrectas.

NMAP es una…. Herramienta de código cerrado que sirve para efectuar escaneo de puertos. Herramienta de código libre creado únicamente para escanear puertos. Herramienta de código libre que permite mapear sistemas operativos en búsqueda de información pública. Herramienta de código libre que permite escanear puertos y lanzar escaneos de vulnerabilidades.

El sniffing permite…. Obtener información de las DNS y las cachés de los equipos de una misma red. Suplantar la identidad de otro equipo mediante ingeniería social. Monitorizar y capturar los paquetes de una red con el objetivo de analizarlos. Analizar los logs de las máquinas de una red para encontrar errores o vulnerabilidades.

Con el ARP Spoofing podemos: Enviar paquetes ARP con el objetivo de asociar la dirección MAC del atacante con la dirección IP de otro nodo. Capturar el tráfico ARP de una red para poder suplantar la identidad de la máquina objetivo. Utilizar la pila ARP para poder obtener la dirección MAC de todas las máquinas colindantes. Todas son incorrectas.

Nessus y Openvas permiten…. Obtener información del objetivo para crear un mapa de información. Realizar escaneos automáticos de vulnerabilidades con información previa. Generar un cuadro de mandos con los servicios abiertos y las versiones de cada uno. Permiten realizar tareas de escalada de privilegios y posexplotación de manera automatizada.

Los mapas de información tienen como objetivo: Crear de una manera visual el plan de búsqueda de información para recabar información. Generar un mapa de calor con las criticidades y riesgos tecnológicos de un activo o máquina objetivo. Permite recoger y agrupar la información necesaria para realizar un vector de ataque de manera optimizada. Ninguna de las anteriores.

La diferencia entre Nessus y Openvas es que: Nessus nos da información acerca de los exploits disponibles sobre una vulnerabilidad mientras que Openvas no. Openvas tiene una licencia de pago con la que tendremos la posibilidad de realizar escaneos a un número ilimitado de IPs o máquinas objetivo. Nessus no está soportado para plataformas UNIX mientras que Openvas si. Ninguna de las anteriores.

Nexpose es una herramienta de análisis de vulnerabilidades que: No está integrada en Kali Linux por defecto. Está desarrollada por el mismo equipo de Metasploit. Nos arroja información de exploits que pueden ser utilizados con Metasploit. Todas son correctas.

Si queremos programar un script para hacer ARP spoofing, utilizaremos la librería: socket. arpanet. scapy. pwntools.

Pwntools permite: Explotar vulnerabilidades rápidamente (pwnear equipos). Generar cadenas de texto que permitan identificar puntos desbordamiento de buffer. Automatizar ataques a sistemas en red. Instalar herramientas de hacking a través de la terminal.

Si utilizamos la librería requests: Podemos automatizar ataques http. Podemos consultar stackoverflow desde la consola de python. Podemos mejorar la aparicencia de una web de phishing ayudándonos de BeautifulSoup. Depuraremos programas mediante peticiones a gdb.

Si hablamos de Meterpreter, ¿cuál de las siguientes afirmaciones sería la correcta?. No crea ningún proceso nuevo ya que se carga directamente en memoria RAM. Lo podemos manejar desde Metasploit. Es un intérprete de comandos que nos permite crear un backdoor. Todas las anteriores son correctas.

Una shellcode tiene como características: Es una porción de código en lenguaje ensamblador que tiene como objetivo ejecutar una shell remota de la máquina de la víctima en la máquina del atacante. Es una porción de código que va insertado en un exploit. Con una shellcode un atacante podrá tener control total de la máquina de la víctima. Todas son correctas.

Un exploit se puede definir como: Un hardware encargado de interrumpir a otro programa durante su ejecución para conseguir cierto tipo de privilegios. Un binario encargado de escalar privilegios una vez tenemos acceso a la máquina. Un programa encargado de interrumpir a otro programa durante su ejecución para conseguir cierto tipo de privilegios. Un binario encargado de embeberse en un payload para abrir un canal de comunicación.

Armitage es: Un módulo de Metasploit que nos permite crear canales de comunicaciones reversos y de tipo bind. Una utilidad que no está incluida en Metasploit ni en Kali Linux y que se debe ejecutar e instalar por otra vía. Una herramienta que nos permite crear mapas de red para integrarlos con Metasploit y obtener diagramas de flujo. Una herramienta incluida en Metasploit y que se diferencia en presentar una interfaz gráfica.

Los tipos de payload existentes son: Single, stagers y staged. Single, stagers y statement. Stagers, statement y staged. Single, statement y stagers.

¿Cuál de las siguientes afirmaciones sobre los comandos de Metasploit es correcta?: Si ejecutamos show payloads nos mostrará todos los módulos para codificar nuestros exploits. El comando info nos muestra la información sobre la máquina víctima. El comando set definirá las opciones requeridas por cada módulo. Si ejecutamos show payloads nos mostrará todos los módulos para codificar nuestros payloads.

Msfvenom es: Una herramienta integrada en msfpayload para poder generar exploits de última generación. Una herramienta de generación de payloads. Una herramienta de generación de exploits. La interfaz web de Metasploit.

Msfencode es: Un exploit para integrar con diferentes herramientas de análisis de vulnerabilidades. Una herramienta que permite codificar la shellcode para adaptarse a un objetivo. Una herramienta de generación de exploits. La interfaz web de Metasploit.

Cuando infectamos una máquina que se encuentra detrás de una red NAT, debemos utilizar como mecanismo de conexión: Tipo shell inversa. Tipo escucha TCP. Tipo escucha UDP. Tipo payload.

Cuando hemos conseguido tomar el control de una máquina, ¿cuál es la mejor forma de continuar con nuestra posexplotación?. Analizando manualmente el equipo víctima para escalar privilegios. Utilizando exploits locales. Probando nuevos exploits para abrir más vías de entrada. Eliminando la capacidad de conexión a sus usuarios legítimos.

Una condición de carrera: Es necesaria para que dos procesos compitan por los recursos. Hace referencia al intervalo de tiempo que permite saltarse una comprobación del sistema. Solo se produce en procesos atómicos. Indica que el sistema operativo necesita más CPU o producirá un DoS.

¿Qué es el pivoting?. Un recurso se hace pasar por otro pivotando entre diferentes identidades. Un equipo vulnerado permite pivotar entre segmentos de red. Un componente que permite saltarse las comprobaciones del antivirus. Un procedimiento de recolección de información.

Haciendo pass the hash: Crackeamos un hash SHA256. Nos autenticamos enviando un hash NTLM. Crackeamos un hash NTLM. Pasamos el sistema de CAPTCHA de Windows.

Hablamos de ganar persistencia cuando: Una APT (Advanced Persistent Threat) logra su objetivo. Instalamos un componente que nos permitirá entrar de nuevo en el sistema. Aprendemos a ser constantes buscando fallos en la posexplotación. Obtenemos el espacio en disco necesario para desplegar nuestro payload.

¿Por qué es necesario hacer bypass de UAC?. Para alertar al usuario de que estamos haciendo un hacking ético. Para poder ejecutar comandos privilegiados. Para poder ejecutar comandos no privilegiados. Para poder abrir powershell y continuar la posexplotación.

Empire es: Una botnet de Microsoft. Un RAT para Windows. Una versión ligera de meterpreter. Una red vulnerable por completo a nuestros exploits.

Una ventaja de Empire es: Que siempre contraataca. Que es versátil porque está escrito en powershell. Que es versátil porque está escrito en javascript. Que nunca lo han utilizado los ciberdelincuentes.

A la hora de ganar persistencia es más importante: Garantizar el acceso aunque formateen la máquina. Garantizar el acceso aunque el vector de ataque inicial cambie. Garantizar el acceso por el mismo vector de ataque. Tener paciencia, pues todo llegará.

Una técnica avanzada de suplantación de procesos sin privilegios es: La ejecución de componentes rootkit. Crear un proceso con el mismo nombre usando la API de Windows. La inyección de librerías en memoria. Realizar OSINT sobre los desarrolladores del proceso.

Señale la opción incorrecta. Obteniendo el hash NTLM de un usuario, podemos: Suplantarle enviando un correo a todos sus contactos. Tratar de recuperar la contraseña mediante cracking. Utilizarlo para escalar privilegios locales. Tratar de utilizarlo en un pass the hash.

¿Cuál es la extensión de las aplicaciones de iOS?. fichero .ios. fichero .ipa. fichero .apk. No tiene extensión, en UNIX se utiliza el número mágico.

Para realizar análisis dinámico de aplicaciones Android: Debemos contar con un dispositivo compatible. Podemos emular el entorno con Android Studio. Basta con el uso de un proxy socks. Son aplicaciones nativas Java, así que necesitaremos sólo Java instalado.

Para realizar análisis dinámico de aplicaciones Ios: Podemos emular el entorno con Apple Studio. Debemos contar con un dispositivo compatible. Basta con el uso de un proxy socks. Son aplicaciones nativas, podremos ejecutarlas en nuestro mac.

Las aplicaciones de Android: Corren aisladas en una sandbox virtual. Están aisladas a través del sistema de permisos de Linux. Son compatibles con iOS. Pueden ejecutarse en Cydia.

Para obtener una aplicación de iOS: La descargaremos de Apkpure. Debemos extraerla del teléfono cuando se ejecute. Bastará con descargarla del playstore y sacarla de disco. No se puede por copyright.

El sistema adb: Es el equivalente a gdb en Android. Es una herramienta de comunicación con sistemas Android para su administración. Permite desarrollar aplicaciones para Android. No es compatible con teléfonos reales.

El principal vector de ataque de los sistemas móviles: Son las teleoperadoras. Son las aplicaciones. Es el bluetooth. Es el sistema operativo.

El permiso de accesibilidad en Android es peligroso porque: Hace accesible el sistema sin autenticación. Permite acceder a todo el contenido de la pantalla. No es en absoluto peligroso. Levanta sistemas de acceso remoto por red.

Frida es: Un sistema de fuzzing de aplicaciones móviles. Una librería gratuita. Un sistema de instrumentación de aplicaciones móviles. Una técnica de análisis estático.

Señale la respuesta falsa. Podemos tratar de evadir las verificaciones HPKP: Instalando una CA propia. Con SSL Kill Switch. Con un certificado válido. Con Frida.

Entre las capacidades de un ransomware, no se encuentra: Cifrar los archivos. Atacar terceras máquinas. Pedir compensación económica. Publicar datos de la organización.

El malware Ryuk es de tipo: RAT. Ransomware. Botnet. Scareware.

A la hora de analizar un sistema Windows, ¿qué aspecto estudiaremos que no está presente en otros sistemas?. El sistema de archivos. El registro. Los procesos. La red.

¿Qué formato tienen los ejecutables de Windows?. EXE. PE. DLL. ELF.

Cuando interpretamos el código máquina mediante mnemónicos (opcodes), utilizamos: Un decompilador. Un desensamblador. Un reversador. Un debugger.

Cuando un binario utiliza funciones de otro, llamándolo a través del sistema operativo, decimos que está: Imbricado. Dinámicamente enlazado. Estáticamente enlazado. Bifurcado.

La diferencia entre CALL y JMP es: JMP es condicional. CALL crea un marco de ejecución y JMP no. JMP crea un marco de ejecución y CALL no. Solo se puede usar CALL si existe un RET.

Desde la versión gratuita de IDA, no podremos: Desensamblar. Decompilar. Depurar. Renombrar funciones.

El puntero con el que el procesador referencia la instrucción que se está ejecutando se llama: ESP. EBP. EIP. EAX.

¿Cuáles de estas afirmaciones es falsa?. A la hora de analizar malware hay que centrarse en «reversear» los ejecutables dejando de lado otros elementos o perderemos el foco. Sin analizar el código del ejecutable, no llegaremos a comprender del todo su funcionalidad. Analizando las funciones importadas por el malware podemos hacernos una idea de cuál va a ser su forma de operar. Hay que analizar las funciones exportadas por el malware, por si está actuando para dar soporte a otro componente.

La entropía de un binario permite: Detectar cambios entre versiones. Detectar si está cifrado o empaquetado. Determinar su procedencia. Explotar nuestros conocimientos sobre criptografía.

Decimos que un binario está empaquetado cuando: Está programado en java. Cuenta con una funcionalidad que solo se manifiesta en tiempo de ejecución. Está dentro de un zip con contraseña. Su vector de entrada es una mochila USB.

Construir un buen laboratorio de malware no debe impedir que: El malware detecte que está en un entorno virtualizado. El malware se ejecute. El malware se extienda por la red. El malware contacte libremente con su C2.

Podemos capturar las operaciones realizadas sobre el registro por un malware con: Regshot. procomon. Regedit. Process Hacker.

¿Cómo se llama la distribución de Linux que utilizaremos para el análisis de malware?. Kali Linux. REMnux. MalTux. Arch Linux.

El análisis dinámico de código tiene la ventaja de que: Ejecutar la muestra siempre es mejor para obtener IOC. Permite ver funcionalidades que no están claras en el análisis estático. Es más sencillo que analizar el código ensamblador. No tiene ninguna ventaja frente a otros análisis.

El análisis estático de código no permite: Enumerar las funciones utilizadas por el malware. Acceder a funcionalidades muy ofuscadas (por ejemplo, de un empaquetado). Conocer más funcionalidades que el análisis estático básico. Acceder al código ensamblador de la muestra.

¿Cuál de los siguientes entornos de programación no permite un acceso sencillo al código fuente original?. Python. C++. .NET. Java.

Antes de usar una Sandbox online debemos: Tener un acuerdo de confidencialidad con el proveedor. Obtener un certificado de que el proveedor cumple con la ISO 27001. Evaluar los requisitos de nuestro caso de análisis. Nunca debemos utilizar un servicio en línea.

Podemos analizar el árbol de llamadas entre procesos con: Process Hacker. Procmon. Process Monitor. TreeNity.

¿Cómo se llama a una máquina instalada para obtener malware emulando sistemas reales, pero sin llegar a implementarlos?. Sandbox. Honeypot de baja interacción. Honeypot de alta interacción. Honeypot de media interacción.

El hash que permite buscar las similitudes entre dos binarios se llama: HashDiff. ssdeep. nltk. SHA-1.

Un imphash: Es para hacer hashes de archivos muy pequeños. Es para hacer hashes de archivos muy grandes. Genera una firma con las funciones utilizadas por el binario. Genera una firma única de ficheros importantes.

Señale la opción menos prioritaria. Es importante que el entorno de ejecución del malware sea: Creíble. Rápido. Analizable. Robusto.

Mediante el comando strings podemos: Analizar el malware por hilos. Extraer rápidamente IOC de texto. Convertir el malware en cadenas de texto. Convertir caracteres en estructuras de datos complejas.

Si no tenemos conocimiento de los requisitos de confidencialidad del malware, no debemos: Analizarlo en una sandbox local. Analizarlo en una sandbox online. Realizar un análisis dinámico de código. Esperar a tenerlos claros.

El programa desarrollado por Sysinternals, Procmon, no permite: Analizar el uso del registro. Analizar el tráfico de red. Analizar el uso de disco. Analizar los procesos ejecutados.

¿Cómo podemos ver el valor de los parámetros utilizados en las llamadas a funciones?. Mediante análisis de código con IDA. Mediante análisis dinámico con x64dbg. Consultando con el parámetro -h. Mediante análisis de funciones con PeStudio.

Si queremos analizar las funcionalidades de un programa malicioso que no se ejecuta en el entorno de usuario: Procederemos a arrastrarlo al entorno de usuario mediante hooking. Buscaremos en Internet información, porque es imposible acceder a otras áreas. Lo haremos a través de un análisis de memoria. Lo haremos mediante desensamblado del MBR.

Si no tenemos ninguna información, cuando el malware realice operaciones de red, debemos: Tratar de emular los servicios que quiere utilizar en el proxy. Darle salida a Internet y capturar el tráfico. Bloquear todas sus conexiones para evitar movimientos laterales. Buscar una versión desactivada del malware para analizarla primero.

Son los protestantes ,se dedican al hackeo de páginas gubernamentales: Los sombreros blanco. Los sombreros grises. Los sombreros negros.

¿Por qué es importante el hacking ético?. Nos permite crear sistemas robustos. Nos permite indagar en los sistemas de otros. Nos permite conocer archivos de las agencias de inteligencia.

Delitos informáticos : Es un agravante que permite al juez aumentar hastaun tercio de pena. Atentar contra la soberanía nacional. Obtener beneficios económicos con el delito. Cometer el delito mientras se pertenece a una organización criminal. Todas las anteriores.

Nivel de la Deep Web conocido como la Fosa de las Marianas. Nivel 1. Nivel 3. Nivel 6.

Es un analizador de protocolos. Sniffer. Hash. Deep Web.

El firewall o cortafuegos es un tipo de seguridad de: Hardware. Software. Capital Humano.

Un antivirus es un tipo de seguridad de : Hardware. Software. Capital Humano.

La bitcoin obedece a las leyes tributarias extranjeras. Esta premisa es: Verdadera. Falsa.

La clonación de tarjetas de crédito es un ataque cibernético conocidocomo: Skimming. Vishing. Fuerza Bruta.

Es el procedimiento más básico para realizar una auditoría: Web Hacking. Auditoría de vulnerabilidades. Test de intrusión.

Listando los procesos de una máquina, encontramos ejecutándose scvhost. ¿Puede ser un programa malicioso?. No, es un ejecutable propio de Windows. Puede serlo, si se ejecuta con PID 1337. Puede serlo, si no cuelga del proceso services.exe. Puede serlo, si no tiene ningún handle a Mutex.

¿Qué es una backdoor?. Una forma de entrar en la máquina de la víctima habiendo dejado una vulnerabilidad a propósito en ella. Un tipo de vulnerabilidad que permite al atacante tomar el control total de la máquina víctima. Un mecanismo de protección para la ejecución arbitraria de código. Una técnica de ataque en la que se capturan las pulsaciones de la máquina víctima y se envían al atacante.

Un rootkit: Exclusivamente se puede detectar realizando un análisis de memoria. Se puede detectar mediante análisis diferencial de las respuestas del sistema operativo. Es indetectable, si sospechamos estar infectados con uno, hay que formatear. Se puede detectar porque impide iniciar sesión como administrador.

¿Cuál es la principal diferencia entre el footprinting y el fingerprinting?. El footprinting obtiene más información de la víctima si los conocimientos de esta en el área de la seguridad son escasos o nulos, mientras que el fingerprinting siempre encuentra la misma información. El nombre. El footprinting no necesita de conocimiento técnico, el fingerprinting sí. El footprinting no interacciona con la víctima mientras que el fingerprinting sí.

¿Qué es una sandbox en análisis de malware?. Un entorno de análisis que emula un sistema real incluyendo herramientas de monitorización. Un sistema para evitar que el malware ataque nuestras aplicaciones más críticas. Una técnica para enterrar el malware entre tantos datos, que no puede ejecutarse correctamente. Ninguna respuesta es correcta.

Los escaneos TCP ACK: No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). Fija los bits de FIN, PSH, y ACK flags. Utiliza sondeos UDP.

Mecanismos de obtención del malware: Bajándolo de páginas de Internet. Robándolo a organizaciones cibercriminales. Capturándolo en una honeynet, honeypot y honeytokens. Capturándolo en una máquina infectada de la organización.

Con respecto al análisis estático: Nunca debe utilizarse sobre muestras de ransomware. Cuando se realiza sobre software .NET requiere de un experto en instrucciones de ensamblador. Es una práctica imprescindible, porque permite ver cómo se comporta el malware en un entorno real. Es una práctica imprescindible, porque permite ver características del malware que no salen a la luz mediante un análisis dinámico.

¿Qué es el QRLJacking?. Es una técnica basada en el protocolo OAuth para conseguir autorizaciones del usuario y poder utilizar su cuenta. Es el uso de técnicas de codificación de caracteres con el objetivo de engañar al ojo del usuario. Consiste en el secuestro de un QRCode con el objetivo de obtener un beneficio por parte del atacante. Es el uso de la barra de direcciones para suplantarla.

Detectamos que hay una muestra de malware porque aparece un proceso powershell colgando de un word. Es una infección, a través de macros. Eso no puede pasar, sólo pueden colgar procesos de exe o dll. Todas son falsas. Es habitual el uso de cualquier producto de Microsoft dentro de Office.

¿Hay alguna forma de averiguar qué sistema operativo corre la máquina que hay al otro lado de un servidor?. Sí, haciendo un escaneo de puertos. Sí, mediante un ataque de banner. Sí, mandando una petición HTTP errónea. Todas las anteriores son ciertas.

¿Qué define la política de Nessus?. La programación temporal de la aplicación. Las máquinas objetivos que se van a escanear. El ámbito de la naturaleza del escaneo a analizar definiendo las pruebas que se ejecutarán. Ninguna de las anteriores son correctas.

¿Qué atributo de Metasploit hay que configurar para conseguir que un Meterpreter se conecte a una máquina en una conexión inversa?. LHOST. RHOST. THREADS. Ninguna de las anteriores.

¿Cuál es la principal diferencia entre el footprinting y el fingerprinting?. El footprinting obtiene más información de la víctima si los conocimientos de esta en el área de la seguridad son escasos o nulos, mientras que el fingerprinting siempre encuentra la misma información. El nombre. El footprinting no necesita de conocimiento técnico, el fingerprinting sí. El footprinting no interacciona con la víctima mientras que el fingerprinting sí.

Los escaneos TCP CONNECT. Es igual al sondeo SYN pero aprovecha de un detalle de implementación de algunos sistemas que permite diferenciar puertos abiertos de los cerrados. Se ejecutan mediante la opción --scanflags y permite diseñar el propio sondeo mediante la especificación de banderas TCP arbitrarias. Son un método de sondeo avanzado que permite hacer un sondeo de puertos TCP a ciegas de verdad. Se completan las conexiones para abrir los puertos objetivo en lugar de realizar el reseteo de la conexión medio abierta como hace el sondeo SYN.

Qué objetivo tiene la explotación local. Mediante la explotación local se persigue abrir puertos en la máquina atacada. Uno de los principales fines de la expolotación local es la escalada de privilegios. Se persigue la instalación de software malicioso para el control remoto de la víctima. Se basa en la manipulación de los ficheros de sistema.

¿Cómo se denomina al Gateway de entrada de una Honeynet?. Honeypot. Control de datos. Honeywall. Ninguna de las anteriores.

¿Qué es una sandbox en análisis de malware?.

Los escaneos TCP ACK:

Con respecto al análisis estático:

¿Qué objetivo tiene la explotación local?. Mediante la explotación local se persigue abrir puertos en la máquina atacada. Uno de los principales fines de la explotación local es la escalada de privilegios. Se persigue la instalación de software malicioso para el control remoto de la víctima. Se basa en la manipulación de los ficheros de sistema.

Beneficios del análisis de malware. Descubrir otras máquinas que han sido afectadas por el mismo malware. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener la actualización de software que la mitigue, si está disponible. Obtención de datos necesarios para poder implementar defensas. Ninguna de las anteriores.

¿Cuál de las siguientes herramientas se utiliza para detectar si un malware está empaquetado o comprimido?. ProcDump32. PEiD. WinHex. Processdump.

Los escaneos TCP ACK: No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). Fija los bits de FIN, PSH y ACK flags. Utiliza sondeos UDP.

La forma predominante de malware que infecta las aplicaciones móviles es: Virus. Ransomware. Gusano. Spyware.

¿Cuál de las siguientes fases no lo es de la etapa de Clasificación de la Metodología de Análisis de Malware?. Identificación. Ofuscación. Cadenas. Análisis de código.

Indica cuál de las siguientes afirmaciones no es correcta sobre los escaneos que se pueden realizar con Nmap. Se pueden realizar tanto sobre TCP como sobre UDP. El escaneo TCP SYN se inicia con un paquete con los flags SYN y ACK activados. El escaneo TCP XMAS envía un paquete con más de 2 flags activados. El escaneo TCP NULL envía un paquete con todos los flags desactivados.

Acciones que el malware suele realizar sobre la máquina víctima. Modificación de archivos. Envío de correos personales. Degradación del rendimiento. Inestabilidad del sistema.

Detectamos que hay una muestra de malware porque aparece un proceso powershell colgando de un word. Es un mecanismo habitual de infección, a través de macros. Eso no puede pasar, sólo pueden colgar procesos de exe o dll. Todas son falsas. Es habitual el uso de cualquier producto de Microsoft dentro de Office.

Los principales objetivos de una botnet son: Control de otro tipo de malware de tipo silencioso como las APT. Ataques distribuidos a otros sitemas, mediante denegación de servicios DDoS. Proporcionar a los anunciantes información sobre hábitos de navegación de los usuarios. Robo de información corporativa, clasificada, credenciales de acceso o la relacionada para realizar estafas económicas.

Los principales requisitos de una honeynet son: Adaptación de datos: proporcionar un repositorio estandarizado de datos sobre el malware capturado. Control de datos: mecanismo que se encarga de mitigar o bloquear todo riesgo que se produzca desde los Honeypots hacia las redes externas. Recolección y análisis de datos: consiste en la implantación de un sistema centralizado de recogida y análisis de datos de una red de honeynet distribuida en múltiples puntos. Captura de datos: consiste en la captura de datos y la monitorización de la actividad de los atacantes.

El punycode es... un lenguaje de programación. una inyección SQL. una codificación. una técnica de explotación.

Señala la respuesta correcta. El mecanismo que se encarga de mitigar o bloquear todo riesgo que se produzca desde los Honeypots hacia las redes externas, al objeto de impedir que la Honeynet sea usada por un ciberatacante como herramienta de ataque hacia otros sistemas de producción de la organización o Internet se denomina: Captura de datos. Control de datos. Recolección y análisis de datos. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: Maltego es una herramienta para realizar fingerprinting. Maltego es una herramienta para realizar footprinting. Maltego es una herramienta para realizar ingeniería social. Ninguna de las anteriores.

Beneficios del análisis de malware. Descubrir otras máquinas que han sido afectadas por el mismo malware. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener la actualización del software que la mitigue, si está disponible. Obtención de datos necesarios para poder implementar defensas. Ninguna de las anteriores.

Vectores de infección del malware. File dropper. Correos electrónicos. Redes Peer-To-Peer (P2P). Servicios de red vulnerables.

Señala la respuesta incorrecta. Los honeypot de baja interacción. Servicios reales, sistemas operativos o aplicaciones reales. Emulan servicios y vulnerabilidades de sistemas. Capturan mucha información. Dependen de su sistema de clasificación y análisis para evaluarlo. Suponen un menor riesgo.

Señalar la respuesta incorrecta. Los principales objetivos de una botnet son: Control de otro tipo de malware de tipo silencioso como las APT. Ataques distribuidos a otros sistemas, mediante denegación de servicios DDoS. Proporcionar a los anunciantes información sobre hábitos de navegación de los usuarios. Robo de información corporativa, clasificada, credenciales de acceso o la relacionada para realizar estafas económicas.

Señalar la respuesta incorrecta. Los principales requisitos de una honeynet son: Adaptación de datos: proporcionar un repositorio estandarizado de datos sobre el malware capturado. Control de datos: mecanismo que se encarga de mitigar o bloquear todo riesgo que se produzca desde los Honeypots hacia las redes externas. Recolección y análisis de datos: consiste en la implantación de un sistema centralizado de recogida y análisis de datos de una red de honeynet distribuida en múltiples puntos. Captura de datos: consiste en la captura de datos y la monitorización de la actividad de los atacantes.