2025年中級(jí)應(yīng)急響應(yīng)模考試題(含參考答案)一、單項(xiàng)選擇題（每題2分，共20分）1.某企業(yè)監(jiān)測(cè)到內(nèi)網(wǎng)多臺(tái)服務(wù)器出現(xiàn)異常進(jìn)程“wannacry2025.exe”，進(jìn)程持續(xù)向境外IP（00）發(fā)送加密數(shù)據(jù)，且用戶文件被重命名為“.encrypted”后綴。根據(jù)《網(wǎng)絡(luò)安全事件分類分級(jí)指南》，該事件最可能被認(rèn)定為：A.一般網(wǎng)絡(luò)安全事件（IV級(jí)）B.較大網(wǎng)絡(luò)安全事件（III級(jí)）C.重大網(wǎng)絡(luò)安全事件（II級(jí)）D.特別重大網(wǎng)絡(luò)安全事件（I級(jí)）2.在應(yīng)急響應(yīng)準(zhǔn)備階段，以下哪項(xiàng)措施不屬于“技術(shù)準(zhǔn)備”范疇？A.部署入侵檢測(cè)系統(tǒng)（IDS）并定期升級(jí)規(guī)則庫B.制定《服務(wù)器應(yīng)急恢復(fù)操作手冊(cè)》C.對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行全量+增量備份并異地存儲(chǔ)D.組織跨部門應(yīng)急演練并記錄演練漏洞3.某單位遭遇勒索軟件攻擊，核心數(shù)據(jù)庫被加密。應(yīng)急響應(yīng)團(tuán)隊(duì)在初步處置時(shí)，優(yōu)先應(yīng)采取的措施是：A.立即斷開被感染設(shè)備與內(nèi)網(wǎng)的連接B.嘗試通過未加密的備份恢復(fù)數(shù)據(jù)C.聯(lián)系勒索軟件攻擊方協(xié)商解密D.對(duì)感染主機(jī)進(jìn)行內(nèi)存取證4.分析Windows系統(tǒng)日志時(shí)，發(fā)現(xiàn)“安全”日志中存在大量4625事件（登錄失?。?，源IP為，目標(biāo)賬戶為“administrator”。最可能的攻擊類型是：A.暴力破解攻擊B.緩沖區(qū)溢出攻擊C.釣魚郵件攻擊D.水坑攻擊5.在應(yīng)急響應(yīng)中，電子數(shù)據(jù)取證需遵循“及時(shí)性”原則。以下哪項(xiàng)操作最符合該原則？A.等待法務(wù)部門確認(rèn)取證權(quán)限后再開始操作B.立即對(duì)涉案設(shè)備進(jìn)行只讀鎖掛載并提取內(nèi)存鏡像C.優(yōu)先備份業(yè)務(wù)數(shù)據(jù)再進(jìn)行取證D.使用普通USB存儲(chǔ)設(shè)備直接復(fù)制涉案硬盤數(shù)據(jù)6.某企業(yè)云服務(wù)器（AWSEC2）遭受DDoS攻擊，流量峰值達(dá)50Gbps。根據(jù)云服務(wù)商防護(hù)策略，最有效的緩解措施是：A.啟用云服務(wù)商提供的DDoS高級(jí)防護(hù)（AWSShieldAdvanced）B.手動(dòng)調(diào)整安全組規(guī)則封禁攻擊源IPC.將服務(wù)器遷移至其他可用區(qū)D.關(guān)閉服務(wù)器公網(wǎng)IP并通過VPN訪問7.應(yīng)急響應(yīng)報(bào)告中，“根本原因分析”部分需重點(diǎn)說明：A.事件發(fā)生的時(shí)間線與影響范圍B.攻擊路徑的技術(shù)細(xì)節(jié)（如漏洞利用方式、木馬傳播途徑）C.已采取的臨時(shí)處置措施及效果D.后續(xù)改進(jìn)建議（如補(bǔ)丁升級(jí)、策略優(yōu)化）8.以下哪類日志對(duì)分析橫向移動(dòng)攻擊最具價(jià)值？A.防火墻訪問日志（記錄源IP、目標(biāo)IP、端口）B.域控制器的安全日志（記錄用戶登錄、組策略變更）C.Web服務(wù)器的訪問日志（記錄HTTP請(qǐng)求）D.殺毒軟件的病毒檢測(cè)日志（記錄惡意文件哈希）9.某企業(yè)郵件服務(wù)器檢測(cè)到大量偽裝成“系統(tǒng)升級(jí)通知”的釣魚郵件，附件為“update.exe”（經(jīng)檢測(cè)為木馬）。應(yīng)急響應(yīng)中，阻斷該攻擊擴(kuò)散的關(guān)鍵措施是：A.在郵件網(wǎng)關(guān)部署基于行為分析的反釣魚規(guī)則B.對(duì)已接收郵件的用戶進(jìn)行釣魚識(shí)別培訓(xùn)C.重置所有用戶郵箱密碼D.關(guān)閉郵件服務(wù)器的SMTP服務(wù)10.關(guān)于應(yīng)急響應(yīng)中的“事件隔離”，以下描述錯(cuò)誤的是：A.對(duì)感染主機(jī)可采取禁用網(wǎng)絡(luò)接口、修改路由表等方式隔離B.隔離范圍需最小化，避免影響未受感染的關(guān)鍵業(yè)務(wù)C.云環(huán)境中可通過安全組規(guī)則限制受感染實(shí)例的出站/入站流量D.隔離后無需記錄操作過程，只需確保攻擊停止即可二、多項(xiàng)選擇題（每題3分，共30分，少選得1分，錯(cuò)選不得分）1.應(yīng)急響應(yīng)團(tuán)隊(duì)的核心職責(zé)包括：A.事件的檢測(cè)與確認(rèn)B.攻擊源的法律追責(zé)C.臨時(shí)處置措施的實(shí)施D.事后總結(jié)與改進(jìn)建議2.以下屬于“高級(jí)持續(xù)性威脅（APT）”典型特征的有：A.攻擊周期長（數(shù)月至數(shù)年）B.利用0day漏洞進(jìn)行攻擊C.目標(biāo)明確（針對(duì)特定組織）D.采用大規(guī)模DDoS制造混亂3.分析Linux系統(tǒng)的/var/log/auth.log日志時(shí)，需重點(diǎn)關(guān)注的事件包括：A.su命令的使用記錄（用戶權(quán)限提升）B.SSH登錄失敗次數(shù)（暴力破解嘗試）C.cron任務(wù)的調(diào)度記錄（定時(shí)執(zhí)行惡意腳本）D.sudo命令的執(zhí)行記錄（特權(quán)操作）4.在勒索軟件事件中，判斷是否支付贖金需考慮的因素有：A.數(shù)據(jù)的重要性及恢復(fù)難度（如無有效備份）B.支付贖金的法律風(fēng)險(xiǎn)（如涉及恐怖組織資助）C.攻擊方提供的解密工具可信度（如是否有成功解密案例）D.企業(yè)公關(guān)形象（避免因支付被輿論譴責(zé)）5.應(yīng)急響應(yīng)中的“證據(jù)固定”需滿足的要求包括：A.證據(jù)的完整性（未被篡改）B.證據(jù)的關(guān)聯(lián)性（與事件直接相關(guān)）C.證據(jù)的合法性（取證過程符合法律程序）D.證據(jù)的可讀性（普通人員可直接理解）6.云環(huán)境下應(yīng)急響應(yīng)的特殊性體現(xiàn)在：A.數(shù)據(jù)存儲(chǔ)分散（跨可用區(qū)、跨區(qū)域）B.資源動(dòng)態(tài)性（實(shí)例可能自動(dòng)擴(kuò)縮容）C.日志集中化（云服務(wù)商提供統(tǒng)一日志服務(wù)）D.權(quán)限管理復(fù)雜（IAM角色、訪問密鑰）7.以下哪些操作可能破壞電子證據(jù)的完整性？A.直接在原硬盤上運(yùn)行殺毒軟件掃描B.使用寫保護(hù)設(shè)備（如SafeCopy）復(fù)制硬盤C.對(duì)內(nèi)存鏡像進(jìn)行SHA-256哈希校驗(yàn)后存儲(chǔ)D.在受感染主機(jī)上執(zhí)行“taskkill”命令終止惡意進(jìn)程8.某企業(yè)辦公網(wǎng)爆發(fā)WannaCry變種攻擊，應(yīng)急響應(yīng)團(tuán)隊(duì)需優(yōu)先開展的工作有：A.確認(rèn)是否開啟Windows自動(dòng)更新（是否安裝MS17-010補(bǔ)?。〣.關(guān)閉全網(wǎng)445端口（SMB服務(wù)）防止橫向傳播C.對(duì)所有主機(jī)進(jìn)行病毒掃描并隔離感染設(shè)備D.聯(lián)系微軟獲取專用解密工具9.應(yīng)急響應(yīng)時(shí)間線（Timeline）的關(guān)鍵要素包括：A.事件觸發(fā)時(shí)間（如首次檢測(cè)到異常）B.攻擊階段劃分（如初始入侵→橫向移動(dòng)→數(shù)據(jù)竊?。〤.關(guān)鍵操作記錄（如管理員登錄、補(bǔ)丁安裝）D.第三方協(xié)作時(shí)間（如聯(lián)系云服務(wù)商、安全廠商）10.關(guān)于“事件分級(jí)”，以下說法正確的有：A.分級(jí)依據(jù)包括影響范圍、持續(xù)時(shí)間、經(jīng)濟(jì)損失等B.特別重大事件（I級(jí)）需立即上報(bào)至省級(jí)網(wǎng)信部門C.一般事件（IV級(jí)）可由企業(yè)內(nèi)部團(tuán)隊(duì)自行處置D.分級(jí)結(jié)果需在應(yīng)急響應(yīng)報(bào)告中明確說明三、判斷題（每題2分，共10分，正確填“√”，錯(cuò)誤填“×”）1.應(yīng)急響應(yīng)中，為快速恢復(fù)業(yè)務(wù)，可優(yōu)先使用感染主機(jī)的系統(tǒng)還原點(diǎn)進(jìn)行恢復(fù)。（）2.網(wǎng)絡(luò)流量分析中，異常的DNS查詢（如解析至大量隨機(jī)子域名）可能是C2通信的特征。（）3.對(duì)物理機(jī)進(jìn)行取證時(shí)，直接關(guān)機(jī)不會(huì)影響內(nèi)存中證據(jù)的提取。（）4.供應(yīng)鏈攻擊中，攻擊者可能通過篡改軟件更新包（如開源組件）實(shí)現(xiàn)入侵。（）5.應(yīng)急響應(yīng)結(jié)束后，只需刪除惡意文件并修復(fù)漏洞，無需對(duì)日志進(jìn)行長期留存。（）四、案例分析題（共40分）【事件背景】2025年3月15日10:00，某制造企業(yè)（員工2000人，核心業(yè)務(wù)系統(tǒng)為ERP、PLM，存儲(chǔ)研發(fā)圖紙及客戶訂單數(shù)據(jù)）的IT運(yùn)維人員發(fā)現(xiàn)：-財(cái)務(wù)部門3臺(tái)電腦屏幕彈出“文件已加密，支付0.5BTC至xxxxx獲取解密密鑰”的勒索提示；-內(nèi)網(wǎng)監(jiān)控系統(tǒng)顯示，14:00-16:00期間，IP為0（財(cái)務(wù)部門電腦）與境外IP8（歸屬美國某主機(jī)服務(wù)商）進(jìn)行了大量TCP443端口通信；-查看域控制器日志，發(fā)現(xiàn)0在13:30使用賬號(hào)“l(fā)ihua”成功登錄域，而“l(fā)ihua”賬戶當(dāng)天請(qǐng)假未到崗；-病毒檢測(cè)工具掃描顯示，0的C盤存在惡意文件“update.dll”（哈希值：a1b2c3d4e5f6），經(jīng)VT檢測(cè)，該文件與2024年活躍的勒索軟件家族“LockBit3.0”高度匹配?！卷憫?yīng)過程】10:15，IT部門啟動(dòng)二級(jí)應(yīng)急響應(yīng)（企業(yè)自定義：二級(jí)對(duì)應(yīng)較大事件），成立包含安全工程師、運(yùn)維、法務(wù)、公關(guān)的聯(lián)合小組；10:30，斷開財(cái)務(wù)部門所有電腦的網(wǎng)絡(luò)連接（包括有線和無線），并標(biāo)記為“待取證設(shè)備”；11:00，對(duì)0進(jìn)行內(nèi)存取證（使用FTKImager制作內(nèi)存鏡像），同時(shí)復(fù)制其C盤完整鏡像（使用dd命令，提供哈希值：f6e5d4c3b2a1）；11:30，檢查企業(yè)備份系統(tǒng)，發(fā)現(xiàn)ERP數(shù)據(jù)庫的最近一次全量備份是3月10日23:00，之后僅有3月14日18:00的增量備份；12:00，聯(lián)系公安機(jī)關(guān)網(wǎng)安部門報(bào)備事件，并委托第三方安全公司分析惡意文件；14:00，第三方報(bào)告確認(rèn)“update.dll”為LockBit3.0變種，攻擊路徑為：釣魚郵件（偽裝成“供應(yīng)商材料清單”）→用戶點(diǎn)擊附件→釋放惡意載荷→橫向移動(dòng)（利用SMB協(xié)議）→加密文件。【問題】1.請(qǐng)結(jié)合事件背景，補(bǔ)充該勒索事件的完整時(shí)間線（需包含攻擊階段關(guān)鍵節(jié)點(diǎn)）。（8分）2.指出響應(yīng)過程中存在的3處操作缺陷，并提出改進(jìn)建議。（12分）3.假設(shè)企業(yè)決定不支付贖金，應(yīng)如何恢復(fù)業(yè)務(wù)數(shù)據(jù)？需說明具體步驟及注意事項(xiàng)。（10分）4.為防止類似事件再次發(fā)生，需在技術(shù)、管理層面采取哪些改進(jìn)措施？（10分）參考答案一、單項(xiàng)選擇題1.B2.D3.A4.A5.B6.A7.B8.B9.A10.D二、多項(xiàng)選擇題1.ACD2.ABC3.ABD4.ABCD5.ABC6.ABCD7.AD8.ABC9.ABCD10.ACD三、判斷題1.×2.√3.×4.√5.×四、案例分析題1.完整時(shí)間線（示例）：-3月15日13:30：攻擊者使用偽造的“l(fā)ihua”賬戶（可能通過釣魚郵件竊取密碼）登錄財(cái)務(wù)部門電腦（0）；-13:35-14:00：惡意文件“update.dll”被釋放并執(zhí)行，連接境外C2服務(wù)器（8）獲取指令；-14:00-16:00：勒索軟件通過SMB協(xié)議在內(nèi)網(wǎng)橫向移動(dòng)，感染財(cái)務(wù)部門其他電腦；-16:00后：加密進(jìn)程完成，受害者電腦彈出勒索提示；-3月15日10:00：IT人員發(fā)現(xiàn)異常，觸發(fā)響應(yīng)。2.操作缺陷及改進(jìn)建議：（1）缺陷：僅斷開財(cái)務(wù)部門電腦網(wǎng)絡(luò)，未關(guān)閉內(nèi)網(wǎng)SMB端口（445），可能導(dǎo)致勒索軟件通過其他未隔離設(shè)備繼續(xù)傳播；改進(jìn)：立即在核心交換機(jī)上封禁全網(wǎng)445端口，阻斷橫向移動(dòng)路徑。（2）缺陷：備份驗(yàn)證缺失（未確認(rèn)3月10日全量備份和3月14日增量備份的有效性）；改進(jìn)：在恢復(fù)前需驗(yàn)證備份數(shù)據(jù)的完整性（如檢查備份文件哈希值、嘗試恢復(fù)部分測(cè)試數(shù)據(jù)）。（3）缺陷：未對(duì)“l(fā)ihua”賬戶異常登錄進(jìn)行溯源（如檢查該賬戶密碼是否泄露、是否存在釣魚郵件攻擊痕跡）；改進(jìn)：分析郵件服務(wù)器日志，定位釣魚郵件的發(fā)送源及內(nèi)容，同時(shí)重置“l(fā)ihua”賬戶密碼并啟用多因素認(rèn)證（MFA）。3.數(shù)據(jù)恢復(fù)步驟及注意事項(xiàng)：步驟：①隔離所有受感染設(shè)備，避免二次加密；②驗(yàn)證備份有效性：使用3月10日全量備份+3月14日增量備份恢復(fù)ERP數(shù)據(jù)庫，檢查關(guān)鍵數(shù)據(jù)（如研發(fā)圖紙、客戶訂單）是否完整；③對(duì)未加密的文件服務(wù)器（若有）進(jìn)行數(shù)據(jù)提取，補(bǔ)充備份中缺失的增量數(shù)據(jù)（3月14日18:00至事件發(fā)生前的數(shù)據(jù)）；④恢復(fù)完成后，對(duì)系統(tǒng)進(jìn)行全面掃描，確認(rèn)無殘留惡意文件；⑤逐步恢復(fù)業(yè)務(wù)系統(tǒng)，優(yōu)先開放核心業(yè)務(wù)（如客戶訂單管理），并監(jiān)控運(yùn)行狀態(tài)。注意事項(xiàng)：-恢復(fù)過程中需保留原始備份，避免覆蓋導(dǎo)致數(shù)據(jù)丟失；-恢復(fù)后需重置所有受影響賬戶密碼，啟用MFA；-對(duì)未備份的個(gè)人電腦文件（如員工本地文檔），可嘗試使用數(shù)據(jù)恢復(fù)工具（如Recuva）提取未被覆蓋的加密前文件。4.改進(jìn)措施：技術(shù)層面：-部署EDR（端點(diǎn)檢測(cè)與響應(yīng)）系統(tǒng)，實(shí)時(shí)監(jiān)控異常進(jìn)程（如勒索軟件的文件加密行為）；-啟用SMB協(xié)議簽名，關(guān)閉不必要的445端口，限制內(nèi)網(wǎng)橫向移動(dòng)；-實(shí)施“最小權(quán)限