第二阶段竞赛项目试题
本文件为信息安全管理与评估项目竞赛-第二阶段试题,第二阶段内容包括:网络安全事
件响应、数字取证调查和应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间,选手必须决定如何有效的分配时间。请阅读以下指引!
(1)当竞赛结束,离开时请不要关机;
(2)所有配置应当在重启后有效;
(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本项目模块分数为350分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性
和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。现在,A集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助A集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
● 网络安全事件响应
● 数字取证调查
● 应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。选手的电脑中已经安装好 Office 软件并提供必要的软件工具 (Tools 工具包)。
工作任务
第一部分 网络安全事件响应
任务1:应急响应
A集团的WebServer服务器被黑客入侵,该服务器的应用系统被上传恶意软件,重要文件被破坏,作为一个信息安全工程师需要针对企业发生的网络安全事件启动应急响应,根据企业提供的环境信息进行数据取证调查,调查服务器被黑客攻击的相关信息,发现被黑客放置在服务器上的恶意软件或后门程序,分析黑客如何入侵进服务器。
本任务素材包括:Server服务器虚拟机(VMWare格式)
受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析, WebServer服务器的基本配置参见如下,若题目中未明确规定,请使用默认配置。
Linux:root/123456
Mysql:web/chinaskills@2022
请按要求完成该部分的工作任务,答案有多项内容的请用换行分隔。
第二部分 数字取证调查
任务2 :操作系统取证
A集团某电脑系统感染恶意程序,导致系统关键文件被破坏,该集团的技术人员已及时发现入侵行为,并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的原始证据,分析并提取入侵行为证据。(本题所需要分析的操作系统为windows系列或linux系列)。
本任务素材包括:内存镜像(*.vmem)。
请按要求完成该部分的工作任务。
任务3:网络数据包分析
A集团工作人员截获了含有攻击行为的网络数据包,请根据A集团提供的网络数据包文件,分析数据包中的恶意的攻击行为,按答题卡的要求完成该部分的工作任务。
本任务素材包括:捕获的网络数据包文件(*.pcap)。
请按要求完成该部分的工作任务,答案有多项内容的请用换行分隔。
任务4: 计算机单机取证
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件
格式(如办公文档、压缩文档、图片等)。
本任务素材包括:取证镜像文件(*.E01)
请根据赛题环境及现场答题卡任务要求提交正确答案。
注:表格中每个证据的答案必须全部答对才得分。
第三部分 应用程序安全
任务5:应用程序安全分析
A集团在移动样本监控过程中发现病毒样本,你的团队需要协助A集团对该病毒样本进行逆向分析、对黑客攻击的信息进行调查取证,提交相关信息取证分析报告。
本任务素材包括:驱动程序文件(*.sys)
请根据赛题环境及现场答题卡任务要求提交正确答案。
任务6:代码审计
A集团发现其发布的应用程序遭到了恶意攻击,A集团提供了应用程序的主要代码,您的团队需要协助A集团对该应用程序代码进行分析,找出存在的脆弱点。
本任务素材清单:Web程序文件(*.php)
请根据赛题环境及现场答题卡任务要求提交正确答案。