2.4 A partir de un escenario, analizar indicadores de actividad maliciosa.
Visión General
El video explorará una amplia gama de ataques de malware, incluyendo ransomware, troyanos, gusanos, spyware, bloatware, virus, keyloggers, bombas lógicas y rootkits, destacando sus características distintivas y sus posibles impactos. También cubrirá ataques físicos como ataques de fuerza bruta, clonación de RFID y amenazas ambientales. Se discutirán en detalle los ataques basados en redes, incluyendo ataques de Denegación de Servicio Distribuido (DDoS), ataques a DNS, ataques en redes inalámbricas, ataques de intermediario (man-in-the-middle), ataques de repetición de credenciales e inyecciones de código malicioso. Además, el video profundizará en ataques a nivel de aplicación como ataques de inyección, desbordamientos de búfer, ataques de repetición, escalada de privilegios, falsificación y traversal de directorios. También se explorarán ataques criptográficos como degradación, colisiones y ataques de cumpleaños, así como ataques a contraseñas incluyendo spraying y ataques de fuerza bruta. Finalmente, se analizarán indicadores de compromiso como bloqueos de cuentas, contenido bloqueado, viajes imposibles, consumo de recursos, inaccesibilidad de recursos, registro fuera de ciclo, ataques publicados/documentados y registros faltantes, proporcionando a los espectadores conocimientos para detectar y responder efectivamente a diversas amenazas de ciberseguridad.
Términos Clave
• Ataques de malware
- Ransomware
- Troyanos
- Gusano
- Spyware
- Bloatware
- Virus
- Keylogger
- Bomba lógica
- Rootkit
• Ataques físicos
- Fuerza bruta
- Clonación de identificación
por radiofrecuencia (RFID)
- Ambiental
• Ataques de red
- Denegación de servicio distribuido (DDoS)
o Amplificado
o Reflejado
- Ataques de Sistema de nombres
de dominio (DNS)
- Redes inalámbricas)
- En ruta
- Repetición de credencial
- Código malicioso
• Ataques de aplicación
- Inyección
- Desbordamiento de búfer
- Repetición
- Escalamiento de privilegios
- Falsificación
- Directory traversal
• Ataques criptográficos
- Degradación
- Colisión
- Cumpleaños
• Ataques de contraseña
- Spraying
- Fuerza bruta
• Indicadores
- Bloqueo de cuenta
- Contenido bloqueado
- Viaje imposible
- Consumo de recursos
- Inaccesibilidad de recursos
- Out-of-cycle logging
- Publicado/documentado
- Registros faltantes
Sección 2.4 Cuestionario
Un HIDS informó de una vulnerabilidad en un sistema basado en un ataque conocido. Después de investigar la alerta del HIDS, identificas la solución recomendada y comienzas a aplicarla. ¿Qué tipo de HIDS está en uso?
Basado en red
Basado en firmas
Basado en heurística
Basado en anomalías
Sección 2.4 Cuestionario
Te estás preparando para desplegar un sistema de detección basado en tendencias para monitorear la actividad de la red. ¿Cuál de los siguientes crearías primero?
Guarda BPDU
Firmas
Línea base
Honeypot
Sección 2.4 Cuestionario
Lenny notó un número significativo de fallos de inicio de sesión para cuentas de administrador en el sitio web público de la organización. Después de investigarlo más a fondo, nota que la mayoría de estos intentos provienen de direcciones IP asignadas a países extranjeros. Quiere implementar una solución que detecte y prevenga ataques similares. ¿Cuál de las siguientes es la MEJOR opción?
Implementar un NIDS pasivo.
Bloquear todo el tráfico de países extranjeros.
Implementar un NIPS en línea.
Desactivar las cuentas de administrador.
Sección 2.4 Cuestionario
Un administrador de red prueba rutinariamente la red buscando vulnerabilidades. Recientemente descubrió un nuevo punto de acceso configurado como abierto. Después de conectarse a él, descubrió que podía acceder a recursos de la red. ¿Cuál es la MEJOR explicación para este dispositivo?
Twin maligno
Un dispositivo Raspberry Pi
AP rogue
APT
Sección 2.4 Cuestionario
Eres administrador en una organización pequeña. Homer te contactó hoy y reportó lo siguiente: Él inició sesión normalmente el lunes por la mañana y accedió a recursos compartidos de red. Más tarde, cuando intentó acceder a Internet, una ventana emergente con el SSID inalámbrico de la organización le pidió iniciar sesión. Después de hacerlo, pudo acceder a Internet pero ya no tenía acceso a los recursos compartidos de red. Tres días después, su banco le notificó sobre actividades sospechosas en su cuenta. ¿Cuál de las siguientes indica la explicación MÁS probable para esta actividad?
Un twin maligno
Un punto de acceso rogue
Un ataque DDoS
Un portal cautivo
Sección 2.4 Cuestionario
Los usuarios móviles en tu red informan que frecuentemente pierden conectividad con la red inalámbrica algunos días, pero no tienen problemas otros días. Sospechas que esto se debe a un ataque. ¿Cuál de los siguientes ataques es MÁS probable que cause estos síntomas?
Ataque de interferencia inalámbrica
Ataque IV
Ataque de repetición
Ataque Bluesnarfing
Sección 2.4 Cuestionario
Un atacante puede acceder a las listas de contactos de correo electrónico en tu smartphone. ¿Qué tipo de ataque es este?
Bluesnarfing
Bluejacking
Portal cautivo
WPS
Sección 2.4 Cuestionario
Moe está investigando un ataque donde el atacante parecía tener información sobre un usuario de computadora que no estaba disponible en línea. Después de examinar la computadora del usuario, encontró un pequeño dispositivo USB conectado entre el teclado y la computadora. ¿Qué ha descubierto más probablemente?
Skimmer
Keylogger
Interceptación telefónica
Desbordamiento de búfer
Sección 2.4 Cuestionario
Después de que Bart inició sesión en su computadora, no pudo acceder a ningún dato. En su lugar, su pantalla mostró un mensaje indicando que a menos que hiciera un pago, su disco duro sería formateado y perdería permanentemente el acceso a sus datos. ¿Qué indica esto?
Keylogger
Ransomware
Backdoor
Troyano
Sección 2.4 Cuestionario
Recientemente, un malware en una computadora en el Casino Monty Burns destruyó varios archivos importantes después de detectar que Homer ya no estaba empleado en el casino. ¿Cuál de los siguientes identifica MEJOR a este malware?
Bomba lógica
Rootkit
Backdoor
Spyware
Sección 2.4 Cuestionario
Homer se quejó de actividad anormal en su estación de trabajo. Después de investigar, un administrador descubrió que su estación de trabajo se conecta a sistemas fuera de la red interna de la organización utilizando puertos poco comunes. El administrador descubrió que la estación de trabajo también está ejecutando varios procesos ocultos. ¿Cuál de las siguientes opciones describe MEJOR esta actividad?
Rootkit
Backdoor
Spam
Troyano
Sección 2.4 Cuestionario
Bart descargó e instaló el escáner de seguridad Nmap de https://passsecurityplus.com. Después de completar la instalación, notó que la página de inicio de su navegador y el motor de búsqueda predeterminado cambiaron. ¿Cuál es la causa MÁS probable de la actividad?
Bloatware
Virus sin archivo
Gusano
Rootkit
Sección 2.4 Cuestionario
Eres un profesional de seguridad para la empresa que posee el sitio web getcertifiedgetahead.com. Recientemente te enteraste de que alguien registró los nombres de dominio similares cetcertifiedgetahead.com y getcertifiedahead.com. ¿Qué tipo de ataque deberías sospechar que ha ocurrido?
Ransomware
Typosquatting
Rootkit
Secuestro de DNS
Sección 2.4 Cuestionario
Al investigar problemas de rendimiento en un servidor web, verificaste que el uso de CPU era de aproximadamente el 10 por ciento hace cinco minutos. Sin embargo, ahora muestra que el uso de CPU ha estado promediando más del 98 por ciento durante los últimos dos minutos. ¿Cuál de las siguientes describe MEJOR lo que este servidor web está experimentando?
Agotamiento de recursos
DDoS
Un ataque de desbordamiento de búfer
Una fuga de memoria
Sección 2.4 Cuestionario
Al revisar los registros de una aplicación web, un analista de seguridad nota que se ha caído varias veces, reportando un error de memoria. Poco después de caerse, los registros muestran código malicioso que no es parte de una aplicación conocida. ¿Cuál de los siguientes es MÁS probable que esté ocurriendo?
Desbordamiento de búfer
Envenenamiento de DNS
Escalada de privilegios
Repetición
Sección 2.4 Cuestionario
Estás examinando registros generados por una aplicación web en línea. Notas que la siguiente frase aparece en varias consultas: ' or 1=1; –. ¿Cuál es la explicación MÁS probable para esto?
Un ataque de desbordamiento de búfer
Un ataque de inyección de DLL
Un ataque de inyección SQL
Una condición de carrera
Sección 2.4 Cuestionario
Tu organización ha creado una aplicación web que estará en línea después de que se complete la prueba. Un probador de aplicaciones ve que se usa la siguiente URL en el sitio web: https://getcertifiedgetahead.com/app/info.html. El probador reenvía la siguiente URL al sitio web: https://getcertifiedgetahead.com/app/../../etc/passwd. ¿Qué ataque está comprobando el probador?
Traversión de directorio
Desbordamiento de búfer
Scripting entre sitios
Condición de carrera
Sección 2.4 Cuestionario
Tu organización ha contratado a probadores de penetración externos para identificar vulnerabilidades en la red interna. Después de explotar exitosamente vulnerabilidades en una única computadora, los probadores intentan acceder a otros sistemas dentro de la red. ¿Cuál de las siguientes describe MEJOR sus acciones actuales?
Pruebas de entorno parcialmente conocido
Persistencia
Movimiento lateral
Escalada de privilegios
Sección 2.4 Cuestionario
Al revisar los registros en un servidor web alojado por tu organización, notas múltiples fallos de inicio de sesión en una cuenta FTP, pero solo ocurren aproximadamente una vez cada 30 minutos. También ves que la misma contraseña se intenta contra la cuenta SSH justo después del fallo de inicio de sesión en la cuenta FTP. ¿Qué describe MEJOR lo que está sucediendo?
