M3 ¿Qué es el malware?

Software que solo encripta

Software que solo roba información

Software que realiza acciones no deseadas por el usuario generalmente

de forma oculta.

Software que solo permite espiar.

CORRECTO

M3 ¿Qué es un rootkit?

Programa que se propaga por la red

Programa que permite conectarse de manera remota

Programa que está por defecto en los sistemas Windows.

Programa que permite al adversario un acceso privilegiado y continuado

al sistema, ocultando su presencia.

CORRECTO

M3 ¿En qué consiste el análisis estático?

Permite analizar una muestra de malware de manera remota

Permite analizar una muestra de malware con ciertas medidas de

seguridad

Permite analizar una muestra mediante diferentes técnicas sin tener

que ejecutarla.

Permite analizar una muestra con una sandbox.

CORRECTO

M3 ¿Qué utilizan de manera habitual los programadores de malware para ofuscar su código?

Sandbox

Cucko

Packers o Crypters

Troyanos

CORRECTO

M3 ¿Qué es un hash?

Función que permite analizar si un programa es un malware

Función resumen que consigue crear a partir de una entrada una salida
alfanumérica fija de longitud fija.

Función que permite rotar los bytes a la derecha.

Función que permite rotar los bytes a la izquierda.

CORRECTO

M3 ¿Qué es el Portable Executable?

Es una estructura de datos que encapsula la información necesaria para

que Windows pueda administrar el código.

Es una estructura de datos basada en los Eventos de Windows.

Es una estructura que solo se aplica a los gusanos.

Es una estructura que no utiliza el protocolo TCP.

CORRECTO

M3 ¿Qué son las funciones importadas?

Son todas las funciones que el malware escribe en un fichero.

Mediante el nombre, permiten dar una buena idea de lo que hace el

ejecutable.

Son como las funciones exportadas.

Son funciones únicamente de cifrado.

CORRECTO

M3 ¿Qué técnicas utilizan las herramientas basadas en hooks?

Técnicas para interceptar el tráfico TCP/IP

Técnicas para interceptar solamente las librerías de cifrado.

Técnicas para interceptar hashes

Técnicas para interceptar llamadas a funciones o mensajes entre los

componentes o elementos del sistema.

INCORRECTO

M3 ¿Cuáles de los siguientes son procesos para identificar que el malware se está ejecutando en
una máquina virtual?

ProcessHeap

FileSystem Artifacts

Registry Key
Las opciones b y c son correctas.

CORRECTO

M3 ¿Por qué es importante aislar el laboratorio de análisis de malware?

Es importante para que el antivirus no esté avisando constantemente

Es importante porque el aislamiento hace que el malware sea

indetectable

Es importante para no mezclar los entornos de producción y así evitar

una epidemia en la red corporativa.

Es importante siempre virtualizar para aislarlo.

CORRECTO

M3 ¿Qué son los indicadores de compromiso?

Son indicadores que permiten regular el tráfico entre procesos

Son indicadores que permiten obtener las evidencias necesarias de la

ejecución del malware.

Son indicadores que permite que el malware trabaje más rápido.

Son indicadores que pueden indicar cifrado en caso de secuestro de

información.

CORRECTO

M3 ¿Cuál es el Event ID de borrado de logs?

1102
517

4624

Las respuestas a y b son correctas

INCORRECTO

M3 ¿Para qué sirve la creación de un timeline?

Para poder ver la estructura de un ejecutable

Para poder saber qué es lo que pasado a lo largo del tiempo sobre el
sistema operativo.

Para identificar todos los hashes a lo largo del tiempo.

Para tener indicadores de compromiso

CORRECTO

M3 ¿Qué fichero contiene una copia de la memoria RAM?

Pagefile.sys

Hiberfil.sys

Swapfile.sys

NTUSER.DAT

CORRECTO

M3 ¿Qué son los mutexes?

Son objetos que permiten identificar malware mediante hashes

Son identificadores de compromiso

Son objetos que sirven para regular el control de acceso y recursos
compartidos entre procesos.

Son objetos del sistema de archivos.

Superado. Continuamos