SóProvas

ID
1782691
Banca
CESPE / CEBRASPE
Órgão
TJ-DFT
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O termo APT (advanced persistent threat) é utilizado em segurança da informação para descrever ameaças cibernéticas através de técnicas de coleta de informações que tenham valor para o atacante.
Acerca desse assunto, julgue os itens subsequentes.

Os rootkits, que normalmente são encontrados em APTs, não somente podem esconder a existência de certos processos ou programas de métodos normais de detecção mas também permitir uso contínuo com acesso privilegiado a determinado recurso.

Alternativas
Comentários

  • ----------

    Rootkits são um conjunto de programas que oferecem mecanismos para esconder o invasor, assegurando a sua presença em um computador invadido. Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit.

  • Rootkits: É um malware.

    Código ou conjunto de códigos usados, após uma invasão, para ocultar a presença do invasor na máquina da vítima. A categoria de RootKit normalmente, pode ser detectada por softwares que mantêm assinaturas de certas funções do núcleo que podem ser alvo e inspecionam a memória do núcleo para determinar se foram feitas modificações nestas funções. O rootkit pode ser executado em modo usuário ou em modo núcleo. Em modo de núcleo são usados para atacar rotinas privilegiadas do sistema operacional.

    Pode ser o conjunto de programas que tem como fim esconder e assegurar a presença de um invasor em um computador comprometido.

    Em Sistemas Linux os hackers costumam utilizar esse software de invasão.


  • Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.

     

    O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:
    - remover evidências em arquivos de logs
    -instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador
    -esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc.
    -mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede
    -capturar informações de rede onde o computador comprometido está localizado, pela interceptação de tráfego

     

    É importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo.

     

    Fonte: Cartilha de Segurança. pag 29

  • GABARITO: CERTO.

  • Por conta dessa parte da cartilha CERT "É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo" marquei como errada aff se alguem puder me ajudar a compreender

  • Dentro da taxonomia do ataque do APT, são utilizados os rootkits, no final, para fazer a manutenção do ataque. Eles servem para ocultar a existência de certos processos e do próprio atacante, como também serão utilizados como programas de métodos de detecção e para permitir uso contínuo com acesso privilegiado a determinado recurso.

    Prof. Jósis Alves

  • NA VÍRGULA.

    PIKAS = RECONHECEM;

    MODINHAS = PASSA DESPERCEBIDO.

  • Certo.

    Em ataques APT (Advanced Persistent Threat), são aplicadas técnicas de engenharia social para que se invadam, de forma DISCRETA, os sistemas organizacionais.

    • Podem utilizar diversos protocolos de rede para transmitir ou receber informações do ponto de comando e controle do malware. 
    • Normalmente esse tráfego é construído pelo atacante para parecer um tráfego de rede legítimo
    • Em geral, uma APT não é detectada por antivírus ou por softwares IDS firmados em assinaturas.

    Um rootkit é uma ferramenta que manipula recursos do sistema operacional para manter suas atividades indetectáveis por mecanismos tradicionais, podendo, ainda, operar no nível de kernel do sistema operacional.

    •   É ativado antes que o sistema operacional tenha sido completamente inicializado