SóProvas

ID
102427
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2009
Provas
Disciplina
Redes de Computadores
Assuntos

Durante resposta a um incidente de segurança em um
ambiente de rede de computadores, um analista de segurança de
tecnologia da informação (TI) precisou empregar várias técnicas
e ferramentas para realizar coleta de dados em vários hosts e
dispositivos de rede, relativas à possível presença de malwares.
Algumas das técnicas e das ferramentas e alguns dos dados
coletados foram os seguintes:

I portas TCP/IP abertas nos computadores da rede, por meio da execução de varredura;

II relatos de detecção de infecções por vírus, por meio de antivírus;

III log de aplicações das regras no firewall da rede, por meio de inspeção;

IV nomes e assinaturas dos processos computacionais em execução em um computador em determinado espaço de tempo, por meio de software apropriado.

Considerando essa situação hipotética, se a comparação que o
analista de segurança realizar com a última linha de base segura
de determinado computador indicar que

ocorreu um aumento na quantidade e qualidade de registros relativos aos aspectos I e III da linha base, mas não ao aspecto IV, então isso sugerirá a presença de worms e backdoors na rede.

Alternativas
Comentários
  • Pelo que entendi, ele descreveu um cavalo de tróia.

  • A meu ver, o comportamento descrito é mais relativo a backdoor e não a worms, uma vez que não houve aumento na incidência de uso da CPU.

  • A minha opnião o ERRO é que, se foi instalado um backdoor em um cliente, um novo processo no sistema operacional estará sendo executado para abrir alguma porta para uma futura investida do invasor. Neste caso, os dados relativos ao item IV fornecerão, certamente, indicativos do problema.
  • O erro está aqui:

    então isso sugerirá a presença de worms e backdoors na rede

    Ora, apenas o aumento na quantidade e qualidade de registros de portas TCP abertas e o aumento na quantidade e qualidade de registros de log de aplicações,  não são suficientes para indicar presença de nenhum malware.

  • Os worms buscam exaurir recursos e backdoor, abrir passagem até a máquina hospedeira. Como malwares são programas, quando executados, aparecem como processos e têm assinatura própria. A análise de logs durante o intervalo considerado, para as anomalias vistas, certamente acusaria a presença de processos não esperados, desconhecidos, ou conhecidos mas agindo de maneira anômala. 

    Referência: http://cartilha.cert.br/malware/