Questão nº 68
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 68)
Um órgão público sofreu um ataque direcionado com a seguinte sequência de eventos:
• T0 (13:00): Funcionário do setor financeiro recebeu e-mail de phishing com documento Excel malicioso (.xlsm) que explorou macro habilitada.
• T1 (13:02): O Excel executou PowerShell ofuscado que baixou payload da segunda etapa de domínio legítimo comprometido (pastebin.com) via HTTPS.
• T2 (13:05): Payload injetou shellcode em processo legítimo (svchost.exe) por meio de process hollowing, estabelecendo persistência via registro do Windows (Run key).
• T3 (13:15): Atacante realizou credential dumping extraindo hashes NTLM da memória do LSASS usando técnica living-off-the-land (Mimikatz reflective injection).
• T4 (13:30): Movimentação lateral via PsExec para servidor de aplicação usando credenciais roubadas, sem exploração de vulnerabilidade.
• T5 (14:00): Exfiltração de 500MB de dados para servidor C2 externo via DNS tunneling, fragmentando dados em queries DNS aparentemente legítimas.
Com base nos eventos T0–T5, assinale a opção que indica a tecnologia adequada para identificar o padrão observado e sustentar a investigação e a contenção do incidente.
- AAntivírus tradicional baseado em assinaturas detectaria o hash do arquivo Excel malicioso em T0 e bloquearia toda a cadeia de ataque subsequente.
- BEDR com análise comportamental detectaria T1, T2 e T3 fornecendo telemetria detalhada da cadeia de execução, mas teria visibilidade limitada da movimentação lateral (T4) e exfiltração DNS (T5) por serem eventos de rede/servidor.
- CXDR com telemetria unificada de endpoints, rede e cloud correlacionaria eventos de T0 até T5, detectando o padrão completo por meio de múltiplos vetores e fornecendo visão holística com resposta coordenada. (alternativa correta)
- DAntivírus next-generation (NGAV) com machine learning identificaria comportamento anômalo do Excel executando PowerShell em T1 e bloquearia imediatamente, tornando irrelevantes as etapas posteriores.
- EEDR avançado detectaria todas as etapas T0 a T5 através de análise comportamental de processos e telemetria de conexões de rede do endpoint, tornando XDR redundante para este cenário.
Resposta comentada
Gabarito Alternativa C
XDR (Extended Detection and Response) é uma plataforma de segurança que unifica e correlaciona dados de segurança de múltiplas fontes (endpoints, rede, e-mail, nuvem, identidade) para detectar e responder a ataques complexos de forma mais eficaz do que soluções isoladas como o EDR.
- A) Incorreta: Antivírus tradicional baseado em assinaturas é ineficaz contra ataques zero-day ou variantes novas, e não detectaria técnicas avançadas como PowerShell ofuscado ou process hollowing.
- B) Incorreta: EDR foca primariamente no endpoint. Embora detecte T1, T2 e T3 (ações no endpoint), sua visibilidade sobre a movimentação lateral (T4) e exfiltração DNS (T5) seria limitada à perspectiva do endpoint de origem, sem a correlação de eventos de rede, outros servidores ou a análise aprofundada do tráfego de rede que o XDR oferece. Armadilha: O EDR vê conexões de rede do endpoint, mas não tem a visibilidade holística da rede ou de outros sistemas que o XDR provê ao integrar dados de NDR (Network Detection and Response) ou outros EDRs.
- C) Correta: O XDR, ao unificar telemetria de endpoints, rede (para T4 e T5) e potencialmente e-mail (para T0), correlaciona todos os eventos da cadeia de ataque (T0 a T5), fornecendo uma visão completa e permitindo uma resposta coordenada em todo o ambiente.
- D) Incorreta: NGAV, embora use machine learning para detecção comportamental, é primariamente uma ferramenta de prevenção no endpoint. O cenário descreve um ataque bem-sucedido que progrediu, indicando que o NGAV não bloqueou imediatamente, e sua capacidade de investigação e contenção de uma cadeia completa de ataque é inferior à de um EDR ou XDR.
- E) Incorreta: EDR avançado, mesmo com análise comportamental, tem um escopo limitado ao endpoint. Ele não possui a capacidade inata de correlacionar eventos de rede (como o padrão de DNS tunneling em T5 ou o tráfego PsExec entre servidores em T4) ou de e-mail (T0) de forma unificada como o XDR, tornando o XDR essencial para este cenário complexo.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.