HE Test 23C - 2

Señalar la respuesta correcta. Listando los procesos de una máquina, encontramos ejecutándose scvhost. ¿Puede ser un programa malicioso?. No, es un ejecutable propio de Windows. Puede serlo, si se ejecuta con PID 1337. Puede serlo, si no cuelga del proceso services.exe. Puede serlo, si no tiene ningún handle a Mutex.

¿Qué es una backdoor?. Una forma de entrar en la máquina de la víctima habiendo dejado una vulnerabilidad a propósito en ella. Un tipo de vulnerabilidad que permite al atacante tomar el control total de la máquina víctima. Un mecanismo de protección para la ejecución arbitraria de código. Una técnica de ataque en la que se capturan las pulsaciones de la máquina víctima y se envían al atacante.

Señalar la respuesta correcta. Un rootkit: Exclusivamente se puede detectar realizando un análisis de memoria. Se puede detectar mediante análisis diferencial de las respuestas del sistema operativo. Es indetectable, si sospechamos estar infectados con uno, hay que formatear. Se puede detectar porque impide iniciar sesión como administrador.

¿Cuál es la principal diferencia entre el footprinting y el fingerprinting?. El footprinting obtiene más información de la víctima si los conocimientos de esta en el área de la seguridad son escasos o nulos, mientras que el fingerprinting siempre encuentra la misma información. El nombre. El footprinting no necesita de conocimiento técnico, el fingerprinting sí. El footprinting no interacciona con la víctima mientras que el fingerprinting sí.

5. Señalar la respuesta correcta. ¿Qué es una sandbox en análisis de malware?. Un entorno de análisis que emula un sistema real incluyendo herramientas de monitorización. Un sistema para evitar que el malware ataque nuestras aplicaciones más críticas. Una técnica para enterrar el malware entre tantos datos, que no puede ejecutarse correctamente. Ninguna respuesta es correcta.

Los escaneos TCP ACK: No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no filtrado. n los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0). Fija los bits de FIN, PSH, y ACK flags. Utiliza sondeos UDP.

Señalar la respuesta incorrecta. Mecanismos de obtención del malware: Bajándolo de páginas de Internet. Robándolo a organizaciones cibercriminales. Capturándolo en una honeynet, honeypot y honeytokens. Capturándolo en una máquina infectada de la organización.

Señalar la respuesta correcta. Con respecto al análisis estático: Nunca debe utilizarse sobre muestras de ransomware. Cuando se realiza sobre software .NET requiere de un experto en instrucciones de ensamblador. Es una práctica imprescindible, porque permite ver cómo se comporta el malware en un entorno real. Es una práctica imprescindible, porque permite ver características del malware que no salen a la luz mediante un análisis dinámico.

¿Qué es el QRLJacking?. Es una técnica basada en el protocolo OAuth para conseguir autorizaciones del usuario y poder utilizar su cuenta. Es el uso de técnicas de codificación de caracteres con el objetivo de engañar al ojo del usuario. Consiste en el secuestro de un QRCode con el objetivo de obtener un beneficio por parte del atacante. Es el uso de la barra de direcciones para suplantarla.

Selecionar la respuesta correcta. Detectamos que hay una muestra de malware porque aparece un proceso powershell colgando de un word. Es un | infección, a través de macros. Eso no puede pasar, sólo pueden colgar procesos de exe o dll. odas son falsas. Es habitual el uso de cualquier producto de Microsoft dentro de Office.

Se pide al alumno que desarrolle con sus propias palabras los siguientes conceptos relacionado con la fase de fingerprinting:

¿Qué es un escaneo TCP SYN y TCP ACK? ¿Cuál es la diferencia? ¿Qué información es obtenida mediante estas técnicas?.

Explica algún método disponible para detectar la versión del Sistema Operativo mediante técnicas de fingerprinting.

Explica en qué consiste el proceso de banner grabbing.

Hemos obtenido una muestra de malware que ha infectado y cifrado varios de nuestros equipos, pero por más que ejecutamos una muestra de malware en nuestra máquina virtual, parece que no hace nada: ◦ ¿Qué puede estar pasando?.

¿Cómo podemos evitarlo?.