2025年中级应急响应模考试题(含参考答案)

2025年中级应急响应模考试题(含参考答案)一、单项选择题（每题2分，共20分）1.某企业监测到内网多台服务器出现异常进程“wannacry2025.exe”，进程持续向境外IP（00）发送加密数据，且用户文件被重命名为“.encrypted”后缀。根据《网络安全事件分类分级指南》，该事件最可能被认定为：A.一般网络安全事件（IV级）B.较大网络安全事件（III级）C.重大网络安全事件（II级）D.特别重大网络安全事件（I级）2.在应急响应准备阶段，以下哪项措施不属于“技术准备”范畴？A.部署入侵检测系统（IDS）并定期升级规则库B.制定《服务器应急恢复操作手册》C.对关键业务系统进行全量+增量备份并异地存储D.组织跨部门应急演练并记录演练漏洞3.某单位遭遇勒索软件攻击，核心数据库被加密。应急响应团队在初步处置时，优先应采取的措施是：A.立即断开被感染设备与内网的连接B.尝试通过未加密的备份恢复数据C.联系勒索软件攻击方协商解密D.对感染主机进行内存取证4.分析Windows系统日志时，发现“安全”日志中存在大量4625事件（登录失败），源IP为，目标账户为“administrator”。最可能的攻击类型是：A.暴力破解攻击B.缓冲区溢出攻击C.钓鱼邮件攻击D.水坑攻击5.在应急响应中，电子数据取证需遵循“及时性”原则。以下哪项操作最符合该原则？A.等待法务部门确认取证权限后再开始操作B.立即对涉案设备进行只读锁挂载并提取内存镜像C.优先备份业务数据再进行取证D.使用普通USB存储设备直接复制涉案硬盘数据6.某企业云服务器（AWSEC2）遭受DDoS攻击，流量峰值达50Gbps。根据云服务商防护策略，最有效的缓解措施是：A.启用云服务商提供的DDoS高级防护（AWSShieldAdvanced）B.手动调整安全组规则封禁攻击源IPC.将服务器迁移至其他可用区D.关闭服务器公网IP并通过VPN访问7.应急响应报告中，“根本原因分析”部分需重点说明：A.事件发生的时间线与影响范围B.攻击路径的技术细节（如漏洞利用方式、木马传播途径）C.已采取的临时处置措施及效果D.后续改进建议（如补丁升级、策略优化）8.以下哪类日志对分析横向移动攻击最具价值？A.防火墙访问日志（记录源IP、目标IP、端口）B.域控制器的安全日志（记录用户登录、组策略变更）C.Web服务器的访问日志（记录HTTP请求）D.杀毒软件的病毒检测日志（记录恶意文件哈希）9.某企业邮件服务器检测到大量伪装成“系统升级通知”的钓鱼邮件，附件为“update.exe”（经检测为木马）。应急响应中，阻断该攻击扩散的关键措施是：A.在邮件网关部署基于行为分析的反钓鱼规则B.对已接收邮件的用户进行钓鱼识别培训C.重置所有用户邮箱密码D.关闭邮件服务器的SMTP服务10.关于应急响应中的“事件隔离”，以下描述错误的是：A.对感染主机可采取禁用网络接口、修改路由表等方式隔离B.隔离范围需最小化，避免影响未受感染的关键业务C.云环境中可通过安全组规则限制受感染实例的出站/入站流量D.隔离后无需记录操作过程，只需确保攻击停止即可二、多项选择题（每题3分，共30分，少选得1分，错选不得分）1.应急响应团队的核心职责包括：A.事件的检测与确认B.攻击源的法律追责C.临时处置措施的实施D.事后总结与改进建议2.以下属于“高级持续性威胁（APT）”典型特征的有：A.攻击周期长（数月至数年）B.利用0day漏洞进行攻击C.目标明确（针对特定组织）D.采用大规模DDoS制造混乱3.分析Linux系统的/var/log/auth.log日志时，需重点关注的事件包括：A.su命令的使用记录（用户权限提升）B.SSH登录失败次数（暴力破解尝试）C.cron任务的调度记录（定时执行恶意脚本）D.sudo命令的执行记录（特权操作）4.在勒索软件事件中，判断是否支付赎金需考虑的因素有：A.数据的重要性及恢复难度（如无有效备份）B.支付赎金的法律风险（如涉及恐怖组织资助）C.攻击方提供的解密工具可信度（如是否有成功解密案例）D.企业公关形象（避免因支付被舆论谴责）5.应急响应中的“证据固定”需满足的要求包括：A.证据的完整性（未被篡改）B.证据的关联性（与事件直接相关）C.证据的合法性（取证过程符合法律程序）D.证据的可读性（普通人员可直接理解）6.云环境下应急响应的特殊性体现在：A.数据存储分散（跨可用区、跨区域）B.资源动态性（实例可能自动扩缩容）C.日志集中化（云服务商提供统一日志服务）D.权限管理复杂（IAM角色、访问密钥）7.以下哪些操作可能破坏电子证据的完整性？A.直接在原硬盘上运行杀毒软件扫描B.使用写保护设备（如SafeCopy）复制硬盘C.对内存镜像进行SHA-256哈希校验后存储D.在受感染主机上执行“taskkill”命令终止恶意进程8.某企业办公网爆发WannaCry变种攻击，应急响应团队需优先开展的工作有：A.确认是否开启Windows自动更新（是否安装MS17-010补丁）B.关闭全网445端口（SMB服务）防止横向传播C.对所有主机进行病毒扫描并隔离感染设备D.联系微软获取专用解密工具9.应急响应时间线（Timeline）的关键要素包括：A.事件触发时间（如首次检测到异常）B.攻击阶段划分（如初始入侵→横向移动→数据窃取）C.关键操作记录（如管理员登录、补丁安装）D.第三方协作时间（如联系云服务商、安全厂商）10.关于“事件分级”，以下说法正确的有：A.分级依据包括影响范围、持续时间、经济损失等B.特别重大事件（I级）需立即上报至省级网信部门C.一般事件（IV级）可由企业内部团队自行处置D.分级结果需在应急响应报告中明确说明三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.应急响应中，为快速恢复业务，可优先使用感染主机的系统还原点进行恢复。（）2.网络流量分析中，异常的DNS查询（如解析至大量随机子域名）可能是C2通信的特征。（）3.对物理机进行取证时，直接关机不会影响内存中证据的提取。（）4.供应链攻击中，攻击者可能通过篡改软件更新包（如开源组件）实现入侵。（）5.应急响应结束后，只需删除恶意文件并修复漏洞，无需对日志进行长期留存。（）四、案例分析题（共40分）【事件背景】2025年3月15日10:00，某制造企业（员工2000人，核心业务系统为ERP、PLM，存储研发图纸及客户订单数据）的IT运维人员发现：-财务部门3台电脑屏幕弹出“文件已加密，支付0.5BTC至xxxxx获取解密密钥”的勒索提示；-内网监控系统显示，14:00-16:00期间，IP为0（财务部门电脑）与境外IP8（归属美国某主机服务商）进行了大量TCP443端口通信；-查看域控制器日志，发现0在13:30使用账号“lihua”成功登录域，而“lihua”账户当天请假未到岗；-病毒检测工具扫描显示，0的C盘存在恶意文件“update.dll”（哈希值：a1b2c3d4e5f6），经VT检测，该文件与2024年活跃的勒索软件家族“LockBit3.0”高度匹配。【响应过程】10:15，IT部门启动二级应急响应（企业自定义：二级对应较大事件），成立包含安全工程师、运维、法务、公关的联合小组；10:30，断开财务部门所有电脑的网络连接（包括有线和无线），并标记为“待取证设备”；11:00，对0进行内存取证（使用FTKImager制作内存镜像），同时复制其C盘完整镜像（使用dd命令，提供哈希值：f6e5d4c3b2a1）；11:30，检查企业备份系统，发现ERP数据库的最近一次全量备份是3月10日23:00，之后仅有3月14日18:00的增量备份；12:00，联系公安机关网安部门报备事件，并委托第三方安全公司分析恶意文件；14:00，第三方报告确认“update.dll”为LockBit3.0变种，攻击路径为：钓鱼邮件（伪装成“供应商材料清单”）→用户点击附件→释放恶意载荷→横向移动（利用SMB协议）→加密文件。【问题】1.请结合事件背景，补充该勒索事件的完整时间线（需包含攻击阶段关键节点）。（8分）2.指出响应过程中存在的3处操作缺陷，并提出改进建议。（12分）3.假设企业决定不支付赎金，应如何恢复业务数据？需说明具体步骤及注意事项。（10分）4.为防止类似事件再次发生，需在技术、管理层面采取哪些改进措施？（10分）参考答案一、单项选择题1.B2.D3.A4.A5.B6.A7.B8.B9.A10.D二、多项选择题1.ACD2.ABC3.ABD4.ABCD5.ABC6.ABCD7.AD8.ABC9.ABCD10.ACD三、判断题1.×2.√3.×4.√5.×四、案例分析题1.完整时间线（示例）：-3月15日13:30：攻击者使用伪造的“lihua”账户（可能通过钓鱼邮件窃取密码）登录财务部门电脑（0）；-13:35-14:00：恶意文件“update.dll”被释放并执行，连接境外C2服务器（8）获取指令；-14:00-16:00：勒索软件通过SMB协议在内网横向移动，感染财务部门其他电脑；-16:00后：加密进程完成，受害者电脑弹出勒索提示；-3月15日10:00：IT人员发现异常，触发响应。2.操作缺陷及改进建议：（1）缺陷：仅断开财务部门电脑网络，未关闭内网SMB端口（445），可能导致勒索软件通过其他未隔离设备继续传播；改进：立即在核心交换机上封禁全网445端口，阻断横向移动路径。（2）缺陷：备份验证缺失（未确认3月10日全量备份和3月14日增量备份的有效性）；改进：在恢复前需验证备份数据的完整性（如检查备份文件哈希值、尝试恢复部分测试数据）。（3）缺陷：未对“lihua”账户异常登录进行溯源（如检查该账户密码是否泄露、是否存在钓鱼邮件攻击痕迹）；改进：分析邮件服务器日志，定位钓鱼邮件的发送源及内容，同时重置“lihua”账户密码并启用多因素认证（MFA）。3.数据恢复步骤及注意事项：步骤：①隔离所有受感染设备，避免二次加密；②验证备份有效性：使用3月10日全量备份+3月14日增量备份恢复ERP数据库，检查关键数据（如研发图纸、客户订单）是否完整；③对未加密的文件服务器（若有）进行数据提取，补充备份中缺失的增量数据（3月14日18:00至事件发生前的数据）；④恢复完成后，对系统进行全面扫描，确认无残留恶意文件；⑤逐步恢复业务系统，优先开放核心业务（如客户订单管理），并监控运行状态。注意事项：-恢复过程中需保留原始备份，避免覆盖导致数据丢失；-恢复后需重置所有受影响账户密码，启用MFA；-对未备份的个人电脑文件（如员工本地文档），可尝试使用数据恢复工具（如Recuva）提取未被覆盖的加密前文件。4.改进措施：技术层面：-部署EDR（端点检测与响应）系统，实时监控异常进程（如勒索软件的文件加密行为）；-启用SMB协议签名，关闭不必要的445端口，限制内网横向移动；-实施“最小权限