Vírus
e Malware - Firewall
Maware🔗(https://cartilha.cert.br/malware/)(códigos maliciosos)
Propagam-se
Vírus
Spyware
worm
bot
Mediante EXECUÇÃO arquivo infectado👉📂🦠
Keylogger
Screenlogger
Adware
Cavalo de troia
Rootkit
Ransomware
Salvo o
Atividades
Firewall
Proteger contra acessos da internet
Podem ser
Hardware e software
Manter o acesso à máquina
Oculta o invasor com Backdoor
É bom revisar o PDF específico
Usa arquivos .docx ou .xlsx, (...) para infectar
Criptografa os dados e pede resgate(ransom)
resgate dos dados, na maioria das vezes, só podem ser feitos em Bitcoin
permite ou bloqueia o tráfego nas portas TCP do computador.
Extensão ⚠
IPS (Sistema de prevenção de intrusos)
Sniffer💻🐽📦🐽💻
capturar e armazenar dados que estejam trafegando (pacotes) em uma rede de computadores.
Ilicito
Lícito
invasor para capturar informações sensíveis (como senhas)
monitorar o fluxo de informações que saem da empresa,
o que os funcionários estão fazendo na rede da empresa, etc.
legítimo
Malicioso
verificar se outras pessoas estão utilizando o pc de modo abusivo ou não autorizado.
monitorar as atividades de um sistema e enviar as informações coletadas para terceiros.
Possibilidade de desativação
A fim de maior eficiência
usando UTM (Unified Threat Management),
um dispositivo de UTM inclui funções como: .
Virus Script
Vírus de macro
🌐
por e-mail📧
tipo especifico de virus script
Excel, Word e PowerPoint, entre outros
propagação
Propagam-se
forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos.
Ferramentas de proteção🛑🙅♀️
Nimda
bot net
rede formada por computadores zumbis
Trojan Downloader🔽: instala outros códigos maliciosos, obtidos de sites na Internet.
Trojan Dropper 🔽: instala outros códigos maliciosos, embutidos no próprio código do trojan.
RAT-Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador. (REMOTE ACCESS TROJAN)
Trojan DoS🔽🛠: instala ferramentas de negação de serviço e as utiliza para desferir ataques.
Trojan Destrutivo🚮📁: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de operação.
Trojan Clicker : redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas.
Trojan Proxy🔽: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação anônima e para envio de spam.
Trojan Spy🔽 : instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão de crédito, e enviá-las ao atacante.
Trojan Banker ou Bancos🔽 💸: coleta dados bancários do usuário, através da instalação de programas spyware que são ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy porém com objetivos mais específicos.
n são autossuficientes
Bot
e infecta a parte de inicialização do sistema operacional, escondendo-se no primeiro
setor da memória e impedindo que o sistema operacional seja executado corretamente.
Afetam docs
De arquivo📁
FORMATOS DE ARQUIVO DE ALTO RISCO
.EXE .VBS .COM .CMD .PIF .SYS .SRC .BAT .HLP .ASP .REG
Time bomb📆
agem em determinadas datas🎉🎇🎆
Na rede🌐
Software Malicioso
Programa aparentemente útil
Depende da Execução👉📂🦠
Tipos
Ransomware Locker : impede que você acesse o equipamento infectado.
Ransomware Crypto : impede que você acesse dados⛔📁 no equipamento infectado.
Phishing
Scan
combinando técnicas
computacionais e de engenharia social.
Pharming
Redirecionamento
HOAX
Sistema Lento🐢
Não propaga ⛔
podendo afetar
um gabarito padrão de documentos
scanning é também chamado de identificação de computadores-alvo
e que permite potencializar as ações danosas executadas pelos bots. 🦾🦾🦾🔥
Pois é uma rede
Não se replica
Executado automaticamente ⚠
recebido ao acessar uma página Web ou por e-mail HTML, JAVA...
Windows defender
ferramenta antivírus e de firewall pessoal
Cross-Site Request Forgery (CSRF)
é uma classe de ataques que explora a relação de confiança entre um aplicativo web e seu usuário legítimo.
Bloqueio Seletivo -
Pode ser feito nos navegadores para evitar o acesso a sites indesejados.
Firewall 📶
É um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e saída
Anti-spam📨🛑
Filtro de mensagem
AntiSpy -
É um software de segurança que tem o objetivo de detectar e remover adwares e spywares.
Téc. de ataque contra sist. de Encriptação
Através de FORÇA BRUTA🥊🥊
Pixie Dust Attack
Krack (key reinstallation attack)
contra o Wi-Fi protected access II (WPA2) sob determinadas condições. Satisfeitas essas condições, sistemas Android e Linux podem ser enganados por esse ataque para reinstalar uma chave de criptografia toda composta por zeros.
Wi-Fi protected access II (WPA2)
SENHA ROTEADOR
A segurança orgânica
conjunto de medidas proativas
Preventivo
Contra camadas ISO/TCP IP
Transporte
Aplicação
BufferOverflow
Inserindo Cópias idênticas de si mesmo
AntiPhishing
informa o usuário sobre o acesso a páginas falsas na Internet.
difícil detecção
, visto que é ativado antes que o sistema operacional tenha sido completamente inicializado.
Pen Test (teste de penetração)
Ataque Simulado
Envia cópia de si próprio automaticamente pela rede
Envia cópia de si próprio automaticamente por e-mail
De todos os jeitos ❗
Obtido de diversas formas, menos automaticamente pela rede.🌐⛔
Obtido de diversas formas, menos automaticamente pela rede.🌐⛔
Inserido por um invasor
Ação de outro código malicioso
BackDoor
Altera/remove arquivos🚮📁
instala códigos maliciosos🔽
Ataques na Net🔪🌐
Atividades
Consome grande quantidade de recursos🐢
Furta informações (O que o difere do Worm)
Instala outros códigos maliciosos🔽
Envia spam e phishing📧👹(O que o difere do Worm)
Furta informações
Altera/remove arquivos🚮📁
Instala outros códigos maliciosos🔽
Furta informações
Garante retorno do invasor 🔁
Instala outros códigos maliciosos🔽
Altera/remove arquivos🚮📁
Garante retorno do invasor 🔁
Desfere ataques na Internet🔪🌐
Contra IP
IP Spoofing
criar pacotes IP falsos
Extratir Dados Confidenciais
Contra TCP/IP
Ping of Death
vários pacotes TCP/IP com tamanhos inválidos são enviados para servidores com o objetivo de impedir o funcionamento✖.📦📦📦📦📦📦📦📦✖⏭💻
Ataque Denial of Service - DoS🐢
sobrecarga
Causar mal funcionamento!🐢
ataque DDoS (Distributed Denial of Service).
Negação de serviço
Negação de serviço Distribuído
SYN flood🌊
Estouros de buffer podem ser disparados por entradas que são projetadas para executar código, ou alterar o modo como o programa funciona. Isso pode resultar em comportamento errado do programa, incluindo erros de acesso à memória, resultados incorretos, parada total do sistema, ou uma brecha num sistema de segurança.
Fuzzing
Verificar Vulnerabilidades 🔍
fuzzer black box ⬛
TIPOS
Volumétricos
Ataque ATP
Longo Prazo e alvo selecionado
Objetivos🎯
Ameaças Persistentes Avançadas
com base em uma vulnerabilidade zero day
3 aspectos
ativos da Web
, recursos de rede
ou usuários "humanos" autorizados (engenharia social)
DNS Sinkhole🕳
interceptando as solicitações indesejadas de DNS
Estrutura de controle Descentralizada ⚠
Sobrecarga no TCP, o que inviabiliza a aplicação por parte do usuário
base de muitas vulnerabilidades
A Cyber Observable eXpression (CybOX ™)
é uma linguagem padronizada para codificar e comunicar informações de alta confiabilidade no universo cibernético.
Tipos
Server Proxy
3 Partes
1° Infecção
2°Ativação
3°Carga útil
COMO
QUANDO
EFEITO
antivírus, antispyware, antispam, firewall de rede, detecção e prevenção de invasões, filtragem de conteúdo e prevenção de vazamentos
Configurações de Firewaal, podem impedir o acesso remoto à estação de trabalho
SiStema LENTO🐢
Vírus de telefone celular📱
IDS (Sistema de detecção de intrusos)
Bloqueia invasões
Detecta a invasão👁🗨🚪
irá descobrir a senha do ponto de acesso, isto é, descobrir o PIN do roteador.
Criptoanálise
Testar várias chaves, senhas...
regras de restrição de endereços e números de porta,
examinando cada datagrama que passa pela rede
Man in the Middle
ARP Spoofing
os pacotes maliciosos vinculam o endereço MAC do atacante a um IP legítimo na rede, consequentemente as requisições para aquele IP são enviadas para o atacante.
DNS Spoofing:
consiste no atacante comprometer um servidor DNS e alterar os registros enviando assim as requisições reais para sites maliciosos controlados por ele.
Bettercap
testar a segurança de uma rede e pontos vulneráveis.
Arquitetura
Multiple Firewall
Single Firewall
Fases
Propagação e infecção
Scanning
propagação, procura outros sistemas para infectar.
ativação de cópias
reinício do processo
Envio de cópias
capturar e-mails
falsifica a comunicação entre os dispositivos fingindo ser uma fonte confiável.
comparando assinaturas e comportamentos anômalos
WAF🤓🌐
Especialista em conteúdo WEB🌐
Geralmente, o fuzzer fornece muitas entradas inválidas ou aleatórias no programa. O teste tenta causar travamentos, erros, vazamentos de memória e assim por diante.
Requisições HTTP
Respondendo esses DNS com um IP Fake!
Não há nó central, o que dificulta o comprometimento
Centralizada: Intranet, infectando o servidor central, vc compromete todos.
packet filtering
statefull inspection (SPI)
Filtro de Estado🛡(Inspeção de estados)
identifica os protocolos dos pacotes e compara os padrões da comunicação
🛡🛡🛡MAIS SEGURO
Atua como intermediário entre um computador da rede interna e a internet.
Todo o fluxo é gerido pelo proxy com base em regras que podem ser estabelecidas para impedir o acesso a determinados endereços externos.
Dual Homed
Mais seguros que os de filtragem de pacotes
de Aplicação ⚠
Controlado por máquina intermediária
Circuit Level
mais simples q o proxy, sem precisar instalar um Proxy
úNICA verificação inicial
Bom para Streaming
Vírus Polimórfico - muda a assinatura, mas mantém a funcionalidade(comportamento)
Vírus Metamórfico - muda ambos(assinatura e comportamento)
Wannacry 😭
Usa RDP do windows
E criptografia SMB
CAPTCHA
é inócuo ao DDOS TCP
DDOS camada de aplicação
Camada Aplicação
TCP
Ddos tcp
pois não atua na camada de transporte
Stateless 📦
Filtro de estado
inspeciona com nova requisição
portanto, Filtro de pacotes sem estado
guarda o estado da sessão, economizando recursos computacionais,
rede e transporte ⚠
Não guarda estado da sessão
.Captura teclas do teclado virtual ou touchscreen
capturar e armazenar as teclas digitadas pelo usuário
no teclado físico do equipamento
HoneyPot
Atrai o atacante, simulando falhas, pra saber como ele trabalha.
corromper o DNS e direcionar o endereço de um site para um servidor diferente do original.
“vetor de
infecção”. 📧
“bomba
lógica”. 💥
consegue distinguir os pacotes
relacionados à mesma sessão,
Filtro de Pacotes 📦📦
, aplicando a regra de bloqueio ou liberação.
Ele apenas verifica os parâmetros das camadas
Defacement
CRACKEIA UM SITE, MUDA A APARÊNCIA, PASSANDO A USÁ-LO COMO OUTRO.
pela execução direta de suas cópias
ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores.
Torna o PC um Zumbi
Obtido de todos os jeitos ❗
click to edit
Antivírus
Gerações
É um software que detecta, impede e atua na remoção de programas de software maliciosos.
1°✍🔢🦂
2°🔍
Heurística
Assinatura
3°🛑
Execução
4° 🕹🛂
Completa e Atual