Questão nº 68

Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 68)

FGV2025Auditor Estadual de Controle - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Cver comentário ↓

Um órgão público sofreu um ataque direcionado com a seguinte sequência de eventos:

• T0 (13:00): Funcionário do setor financeiro recebeu e-mail de phishing com documento Excel malicioso (.xlsm) que explorou macro habilitada.
• T1 (13:02): O Excel executou PowerShell ofuscado que baixou payload da segunda etapa de domínio legítimo comprometido (pastebin.com) via HTTPS.
• T2 (13:05): Payload injetou shellcode em processo legítimo (svchost.exe) por meio de process hollowing, estabelecendo persistência via registro do Windows (Run key).
• T3 (13:15): Atacante realizou credential dumping extraindo hashes NTLM da memória do LSASS usando técnica living-off-the-land (Mimikatz reflective injection).
• T4 (13:30): Movimentação lateral via PsExec para servidor de aplicação usando credenciais roubadas, sem exploração de vulnerabilidade.
• T5 (14:00): Exfiltração de 500MB de dados para servidor C2 externo via DNS tunneling, fragmentando dados em queries DNS aparentemente legítimas.

Com base nos eventos T0–T5, assinale a opção que indica a tecnologia adequada para identificar o padrão observado e sustentar a investigação e a contenção do incidente.

Resposta comentada

Gabarito Alternativa C

XDR (Extended Detection and Response) é uma plataforma de segurança que unifica e correlaciona dados de segurança de múltiplas fontes (endpoints, rede, e-mail, nuvem, identidade) para detectar e responder a ataques complexos de forma mais eficaz do que soluções isoladas como o EDR.

  • A) Incorreta: Antivírus tradicional baseado em assinaturas é ineficaz contra ataques zero-day ou variantes novas, e não detectaria técnicas avançadas como PowerShell ofuscado ou process hollowing.
  • B) Incorreta: EDR foca primariamente no endpoint. Embora detecte T1, T2 e T3 (ações no endpoint), sua visibilidade sobre a movimentação lateral (T4) e exfiltração DNS (T5) seria limitada à perspectiva do endpoint de origem, sem a correlação de eventos de rede, outros servidores ou a análise aprofundada do tráfego de rede que o XDR oferece. Armadilha: O EDR conexões de rede do endpoint, mas não tem a visibilidade holística da rede ou de outros sistemas que o XDR provê ao integrar dados de NDR (Network Detection and Response) ou outros EDRs.
  • C) Correta: O XDR, ao unificar telemetria de endpoints, rede (para T4 e T5) e potencialmente e-mail (para T0), correlaciona todos os eventos da cadeia de ataque (T0 a T5), fornecendo uma visão completa e permitindo uma resposta coordenada em todo o ambiente.
  • D) Incorreta: NGAV, embora use machine learning para detecção comportamental, é primariamente uma ferramenta de prevenção no endpoint. O cenário descreve um ataque bem-sucedido que progrediu, indicando que o NGAV não bloqueou imediatamente, e sua capacidade de investigação e contenção de uma cadeia completa de ataque é inferior à de um EDR ou XDR.
  • E) Incorreta: EDR avançado, mesmo com análise comportamental, tem um escopo limitado ao endpoint. Ele não possui a capacidade inata de correlacionar eventos de rede (como o padrão de DNS tunneling em T5 ou o tráfego PsExec entre servidores em T4) ou de e-mail (T0) de forma unificada como o XDR, tornando o XDR essencial para este cenário complexo.

Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho