根据信息安全管理与评估技术文件要求,模块二为网络安全事件响应、数字取证调查和 应用程序安全。本文件为信息安全管理与评估项目竞赛-模块二试题。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
(1)当竞赛结束,离开时请不要关机;
(2)所有配置应当在重启后有效;
(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本项目模块分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信 息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性 和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络 安全防护的重要部分。现在,A集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中 的漏洞或者恶意代码,帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
本部分的所有工作任务素材或环境均己放置在指定的计算机上,选手的电脑中己经安装 好Office软件并提供必要的软件工具。
赛题模块二请按裁判组专门提供的U盘中的"2023年山东省"信息安全管理与评估"赛项
-模块二-答题模板"中的要求提交答案。选手需要在U盘的根目录下建立一个名为"GWxx"的 文件夹(xx用具体的工位号替代),所完成的"2023年山东省"信息安全管理与评估"赛项- 模块二-答题模板"放置在文件夹中作为比赛结果提交。
工作任务
任务1:数据取证(100分)
公司服务器上出现了黑链,并且入侵者已经将服务器上的痕迹清除,无法在服务器上进 行溯源,前端防火墙开启了数据包分析功能,现已将数据包导出到ServerOl服务器上,数据 包存放在用户的home目录下。请你在数据包中进行取证工作,找到入侵者的信息。
任务1:数据取证 | ||
---|---|---|
序号 | 任务描述 | 答案 |
1 | 通过对数据包的分析确定所有被入侵的服务器的IP 地址,将服务器IP地址作为Flag提交;IP地址从小 到大排序提交;(格式:[192. 168. 10. 1, 192. 168. 2 0. 1, 192. 168. 30. 1]) | |
2 | 通过对数据包的分析找到提示出现webshell爆破的 服务器相关流量,统计webshell爆破攻击的数量;(格式:[123]) | |
3 | 通过对数据包的分析找到提示出现webshell爆破的 服务器相关流量,确定webshell的正确密码;(格 式:[password]) | |
4 | 通过对数据包的分析找到提示出现被入侵的服务器 相关流量,确认黑客扫描服务器的命令,将服务器 开放的端口作为Flag提交;端口从小到大排序提交 (格式:[21,22,23,24]) | |
5 | 通过对数据包的分析找到提示出现被入侵的服务器 相关流量,确认黑客成功登录网站后台的密码,将 密码作为Flag提交;(格式:[password]) | |
6 | 通过对数据包的分析找到提示出现被入侵的服务器 相关流量,确认黑客成功登录网站后写入的第一个 木马的密码,将他作为Flag提交;(格式: [passwordl]) |
任务2 :内存取证(100分)
A集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A集团提供的系统 镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
任务2:内存取证 | ||
---|---|---|
序号 | 任务描述 | 答案 |
1 | 从内存中获取到用户admin的密码并且破解密码,以Flag {admin, password}形式提交(密码为6位); | |
2 | 获取当前系统ip地址及主机名,以Flag{ip:主机名} 形式提交; | |
3 | 当前系统中存在的挖矿进程,请获取指向的矿池地 址,以Flag {ip}形式提交; | |
4 | 恶意进程在系统中注册了服务,请将服务名以 Flag {服务名}形式提交。 | |
5 | 从内存文件中获取黑客进入系统后下载的flag文件, 将文件中的值作为Flag值提交; |
任务3:镜像文件取证(100分)
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为"evidence 1"、“evidence 2”、……、“evidence 10”,有文本形式也有图片形式,不区分大小写),请 提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文 件数中所占比例不低于15%。取证的信息可能隐藏在正常的、己删除的或受损的文件中,您可 能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件 格式(如办公文档、压缩文档、图片等)。
任务3:镜像文格 | 卜取证 | |
---|---|---|
证据编号 | 在取证镜像中的文件名 | 镜像中原文件Hash码(MD5,不区分大小写) |
evidence 1 | ||
evidence 2 | ||
evidence 3 | ||
evidence 4 | ||
evidence 5 | ||
evidence 6 | ||
evidence 7 | ||
evidence 8 | ||
evidence 9 | ||
evidence 10 |