SóProvas

ID
2624287
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de estruturas de comando e controle de artefatos maliciosos, julgue o item subsequente.


A estrutura de comando e controle do malware Taidoor é conectada pelas máquinas comprometidas por meio de uma DLL camuflada em dados aparentemente aleatórios de um post de um blogue do Yahoo, criptografados por RC4, codificados em base64 e baixados por um malware auxiliar.

Alternativas
Comentários

  • Gabarito Certo

    O malware Taidoor tem sido usado em muitas campanhas de espionagem cibernética em andamento. Suas vítimas incluem agências governamentais, entidades corporativas e grupos de reflexão, especialmente aqueles com interesses em Taiwan.  Em um ataque típico, os alvos recebem um e-mail de spear phishing que os incentiva a abrir um arquivo anexado. Se aberto em um sistema vulnerável, o malware é instalado silenciosamente no computador da vítima enquanto um documento falso com conteúdo legítimo é aberto com o objetivo de aliviar as suspeitas que o alvo possa ter. Taidoor tem comprometido com sucesso as metas desde 2008 e continua ativo até hoje.

    Apesar de estar por aí há muito tempo - e bastante conhecido - o Taidoor é uma ameaça persistente e em constante evolução. Observamos mudanças táticas significativas em 2011 e 2012, quando os anexos de e-mail mal-intencionados não eliminaram diretamente o malware Taidoor, mas, em vez disso, lançaram um “downloader” que pegou o malware Taidoor tradicional da Internet. 

    Recentemente, observamos uma nova variante do Taidoor, que foi usada em ataques direcionados. Ele evoluiu de duas maneiras. Em vez de baixar o malware Taidoor tradicional de um servidor de comando e controle (CnC), o “downloader” entra em contato com o Yahoo Blogs e recupera o texto criptografado das postagens do blog. Quando descriptografado pelo “downloader”, este texto é na verdade uma versão modificada do malware tradicional Taidoor. Esta nova versão do Taidoor mantém um comportamento semelhante, mas foi alterada o suficiente para evitar assinaturas comuns de detecção de rede.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O novo Taidoor

    Esse malware é um simples "downloader" que, em vez de se conectar a um servidor CnC, conecta-se a um Yahoo Blog e faz o download do conteúdo de um post do blog. O conteúdo do post é codificado com base64 e encriptado usando a cifra RC4. A chave de encriptação também está presente nos dados do blog em base64 em uma forma encriptada. O conteúdo decriptado do post do blog é um arquivo DLL – que é, de fato, o malware Taidoor.

     

    Traduzido de: https://www.fireeye.com/blog/threat-research/2013/09/evasive-tactics-taidoor-3.html

  • nunca vi nem ouvi

  • mais detalhes 

    https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/trojan-taidoor-12-en.pdf

  • Não achei nenhuma página em português que fale do Taidoor.

    Retirei do documento que o André Luiz compartilhou:


    The sample email above contained a malicious PDF attachment; however, Taidoor doesn’t confine itself to PDFs. Taidoor has been used in a wide variety of attachments, including malicious Microsoft PowerPoint, Word (.doc and .rtf file formats), and Excel files. Malicious executables and even DLLs have been used as part of recent attacks. 


    When the message body is present in a request or response, it is encrypted using RC4. The RC4 key is simply a string representation of the compromised computer’s adapter address. This means that the C&C server must be able to compute the RC4 key from the [ID] present in the HTTP request. Because such an [ID] is unique for each computer it could also be used by the controlling server for tracking purposes. 


    Path of the file to be created. The content of the file is downloaded using a separate GET request with [OPTIONAL] set to "&ext=[BASE64_ENCODED_FILENAME]" 7 STRING Upload File


    Parameter is the path of the file to be uploaded. Content of the file is uploaded using separate POST request with [OPTIONAL] set to "&ext=[BASE64_ENCODED_FILENAME]"

  • Questão sobre segurança da Abin eh uma brutalidade

  • ah mano, de novo?

    Vou dar ctrl C ctrl V do meu comentário da questão de Wanna Cry e do Flame, só pela zueira, aliás, i already WannaCry!!!

    "nossa, mas tem que saber até o funcionamento de um ransowmare/spyware/vírus/anythingware específico? não está exagerado isso não? saber o conceito e funcionamento tudo bem, mas pesquisar todos malwares famosos aí eu tenho que virar um antivírus ambulante né..."

    Falando sério, questão que vai muito a fundo, muito específica, é sem noção. O edital da ABIN é grande, esse nível de profundidade em um conteúdo (uma palavra de umas centenas dentro do edital) é pedir para o cara esperto deixar em branco, é queimar uma questão que poderia ser usada para distinguir candidatos!

  • GABARITO: CERTO.

  • LOGO LOGO A NASA VEM ESTUDAR A CESPE

  • Cuma??

  • Achei o comando bem dadaísta.