2026年网络安全《APT防御》冲刺押题

2026年网络安全《APT防御》冲刺押题一、单项选择题（每题2分，共20分）1.某APT组织在目标内网横向移动阶段，优先利用以下哪项协议进行凭据中继攻击？A.SNMPv3B.LDAPSC.SMB445D.RDP3389答案：C解析：APT28、Lazarus等组织惯用NTLMHashRelay，SMB445端口默认开放且支持NTLM认证，是横向移动首选。2.在检测DNS-over-HTTPS（DoH）隧道时，下列统计特征最能区分正常流量与C2？A.子域名熵值B.平均响应包大小C.查询类型AAAA占比D.TLS握手时长答案：A解析：APT41的“DNSDream”工具将加密数据编码于高熵子域名，熵值>4.8时告警准确率可达96%。3.针对Living-off-the-LandBinary（LOLBin）防御，以下哪条EDR规则最有效？A.拦截powershell.exe-encB.拦截rundll32.exe无DLL文件参数C.拦截cmd.exe/cD.拦截mshta.exe无父进程答案：B解析：rundll32.exe无DLL参数直接执行JS/VBS脚本为APT29常用技巧，EDR可检测“rundll32.exe.txt,EntryPoint”异常调用。解析：rundll32.exe无DLL参数直接执行JS/VBS脚本为APT29常用技巧，EDR可检测“rundll32.exe.txt,EntryPoint”异常调用。4.在内存取证中发现某进程PE头被替换为“MZAR”，其采用的注入技术是？A.ProcessHollowingB.ReflectiveDLLC.ModuleStompingD.GhostWriting答案：C解析：ModuleStomping先合法加载DLL再覆写MZ头，逃避EtwTi检测，头部特征变为“MZAR”。5.利用AzureADConditionalAccess阻断APT初始入口，优先配置哪项？A.阻止LegacyAuthenticationB.强制MFA注册C.限制地理位置D.限制设备合规答案：A解析：99%的APT密码喷洒仍使用IMAP/POP3等LegacyAuth，关闭后可直接切断入口。6.针对KernelCallbackRootkit，最可靠的检测视角是？A.用户层APIHookB.内核层CmpCallbackC.固件层SMMD.虚拟化层VMXRoot答案：D解析：VMXRootMode下的Hypervisor可获取内核任意状态，绕过rootkit对内核对象修改。7.在零信任架构中，对微隔离策略影响最大的元数据是？A.用户UAB.进程哈希C.服务标签D.数据分类答案：C解析：服务标签（ServiceTag）直接关联工作负载身份，是SDN策略最小授权单元。8.某APT组织使用“BulletProof”CDN做C2，以下哪项情报可唯一锁定真实控制端？A.证书序列号B.JA3指纹C.证书透明度日志D.PassiveDNS首次解析时间答案：C解析：证书透明度日志记录证书申请原始域名，可溯源至攻击者注册身份。9.在Linux环境下，哪条eBPF探针可阻断CVE-2021-4034（pkexecLPE）？A.kprobe/sys_execveB.kprobe/pkexec_mainC.tracepoint/syscalls/sys_enter_execveD.uprobe/g_spawn_command_line_async答案：B解析：pkexec_main入口处检查参数个数为0即返回错误，可阻断利用链。10.针对“BringYourOwnVulnerableDriver”（BYOVD）攻击，最优先的加固措施是？A.启用HVCIB.禁用测试签名C.配置WDACD.移除内核调试器答案：C解析：WindowsDefenderApplicationControl(WDAC)可基于驱动WHQL签名白名单，直接拒绝加载恶意驱动。二、多项选择题（每题3分，共15分）11.以下哪些行为可作为APT29“NOBELIUM”后门的特征？A.利用GoogleFirebase做C2B.使用TEARDROPLoaderC.滥用OneDriveTokenD.通过VMwarevSphere漏洞横向答案：A、C解析：NOBELIUM最新变种“MagicWeb”滥用FirebaseRESTAPI，同时窃取OneDriverefreshtoken维持持久化。12.在检测内存马（JavaWebShell）时，可依赖的JVM层指标有？A.ClassLoader加载数量突增B.javax.servlet.Filter链异常C.JVM线程名为“http-nio-8080-exec-6”D.堆外内存持续增长答案：A、B、D解析：Filter链被动态插入未知实例、ClassLoader数量>基线3σ、堆外内存>200MB均为内存马典型特征。13.针对Office365的ConsentGrant攻击，防御者可以：A.禁用用户自主同意任何权限B.启用AzureADPIMC.配置“PublisherVerification”D.强制CA策略检查风险IP答案：A、C、D解析：禁用用户同意、强制Publisher验证、风险IP触发MFA，可阻断攻击者伪造OAuth应用。14.以下哪些协议可被滥用为C2通道且默认通过企业防火墙？A.DNSoverTCP53B.ICMPType0C.HTTPS443D.QUIC443UDP答案：B、C、D解析：ICMPType0（EchoReply）常被忽略，QUIC基于UDP443，与HTTPS共用端口，默认放行。15.在Linux系统发现某进程使用“prctlPR_SET_NAME”将名字设为“[kworker/0:1]”，其目的包括：A.隐藏恶意进程名B.绕过top/ps命令C.欺骗SELinux策略D.修改/proc/pid/exe指向答案：A、B解析：prctl修改comm字段，ps/top默认显示comm，达到隐藏效果；与SELinux无关。三、判断题（每题1分，共10分）16.利用WindowsUpdateDeliveryOptimization（WUDO）可构建隐蔽C2，该说法正确。答案：√解析：WUDO使用TCP7680，支持P2P，可封装加密Payload，目前无默认监控。17.eBPF程序一旦加载到内核，无法被用户态强制卸载，因此rootkit可永久驻留。答案：×解析：CAP_SYS_ADMIN可调用bpf()BPF_PROG_DETACH，且内核5.9+支持LOCKDOWNLSM限制非特权eBPF。18.在ARM64Linux上，kexec_load系统调用被禁用后可完全阻断Bootkit。答案：×解析：攻击者仍可通过恶意的UEFICapsule或SecureBootbypass实现持久化。19.“BringYourOwnLand”（BYOL）攻击指在目标云租户中部署攻击者自备的完整VPC。答案：×解析：BYOL指在受害者云函数/容器内运行攻击者自备的Land环境（如Python解释器），非VPC。20.使用ChaCha20-Poly1305的C2流量无法被传统DPI解密，因此无法检测。答案：×解析：可基于JA3/JA3S、流量时序、包长度聚类检测，无需解密。21.在零信任模型中，会话凭证默认有效期为8小时，无法缩短至分钟级。答案：×解析：AzureAD可配置访问令牌生存期最短10分钟，满足分钟级要求。22.“MalwareScore”是VirusTotal多引擎检出率的加权调和平均，范围0–1。答案：√解析：VTAPIv3返回的last_analysis_stats经调和平均归一化，1表示全检出。23.利用IntelTSX异步中止（TAA）漏洞可跨VM窃取AES-NI密钥，该攻击需本地代码执行。答案：√解析：TAA需攻击者控制本地代码，结合Prime+Probe可重建密钥。24.在macOS上，使用ldid签名可绕过Notarization，因此任何恶意软件均可直接运行。答案：×解析：ldid仅适用于越狱环境，未越狱设备仍强制Notarization+AMFI。25.将Windows事件ID4624LogonType3全部阻断即可防止PTH攻击。答案：×解析：阻断Type3会影响合法共享，正确做法为禁用NTLMv1、启用EPA。四、填空题（每空2分，共20分）26.在检测SolarWindsSUNBURST后门时，其DGA域名生成算法使用的哈希函数为________。答案：FNV-1a解析：SUNBURST对GUID+域名列表做FNV-1a取模，生成C2域名。27.利用________指令可在x86_64Linux下读取MSR0xC0000082，获取系统调用入口地址，常用于Rootkit挂钩。答案：rdmsr解析：rdmsr指令需ring0，攻击者通过/dev/cpu//msr接口读取。解析：rdmsr指令需ring0，攻击者通过/dev/cpu//msr接口读取。28.在AzureSentinel中，KQL函数________可对JSON数组字段进行展开，便于统计每个子元素出现次数。答案：mv-expand解析：mv-expand将dynamic数组拆成多行，方便后续summarize。29.针对KubernetesAPIServer的“匿名绑定”攻击，需开启RBAC的________特殊集群角色。答案：system:anonymous解析：若system:anonymous绑定到cluster-admin，未认证用户可获取集群控制权。30.在Windows内核利用池喷射时，常用Event对象占用大小为________字节（x64）。答案：0x40解析：_KEVENT结构体在x64下对齐后0x40，便于精确布局池内存。31.使用________工具可对AndroidDEX文件进行动态加载并隐藏于内存，APT“Coper”家族曾用其绕过GooglePlay检测。答案：DexClassLoader解析：DexClassLoader可从内存路径加载未落地DEX，逃避静态扫描。32.在iOS16上，________框架提供内核级系统调用追踪，可替代已被移除的kdebug。答案：ktrace解析：ktrace为macOS/iOS统一接口，支持syscalltrace及过滤。33.针对Office宏混淆，APT组织常用________函数动态解析API，逃避静态字符串检测。答案：GetProcAddress解析：LoadLibrary+GetProcAddress运行时解析，静态无法看到导入表。34.在Linux加固中，________LSM模块可限制用户态对/dev/mem的访问，阻断传统rootkit。答案：CONFIG_STRICT_DEVMEM解析：开启后仅允许MMIO区域，禁止直接物理内存读写。35.利用________HTTP头可指示浏览器“仅通过HTTPS访问”，降低中间人降级风险。答案：Strict-Transport-Security解析：HSTS头强制后续访问使用HTTPS，阻止SSLStrip。五、简答题（每题10分，共30分）36.描述如何在不依赖签名的情况下，利用ETW（EventTracingforWindows）检测进程注入中的“ThreadHijacking”技术，并给出关键事件ID与过滤逻辑。答案：1)开启Microsoft-Windows-Kernel-ProcessETWProvider，事件ID为1（ProcessStart）、2（ThreadStart）、3（ThreadStop）。2)同时开启Microsoft-Windows-Kernel-ThreadETWProvider，捕获ThreadCross-Process操作，事件ID为7（ThreadDCOM/RPC跨进程）。3)过滤逻辑：a.若线程创建事件中的ProcessID与所属进程不同，且StartAddress不在目标进程模块范围（可结合PEB枚举），则标记为可疑。b.若线程上下文SetThreadContext事件（事件ID10）中，PreviousCsrClientThread与当前ThreadID不一致，且目标进程为关键进程（lsass.exe/services.exe），则直接告警。4)结合CallStack采样，若SetThreadContext后RIP指向RWX内存，则判定为ThreadHijacking。5)输出JSON格式日志到SIEM，字段：AlertName=ThreadHijack,TargetProcess,InjectorProcess,StartAddress,RWXRegion。优点：无签名、内核级、绕过用户层Hook。37.某企业采用零信任架构，所有流量经SDP网关。攻击者已在员工终端植入C2，但SDP网关默认放行经身份认证的流量。请设计一套“微隔离+动态授权”方案，阻断已认证通道内的恶意横向移动，要求给出技术实现细节与协议字段。答案：1)身份层：基于短周期X.509+OAuth2.0绑定，访问令牌（AT）有效期5分钟，刷新令牌（RT）绑定设备PCR7值（TPMQuote）。2)设备层：每30秒上报设备健康度（补丁、EDR、DLP状态），若健康度<0.8，SDP控制器下发ACL至本地eBPF防火墙，丢弃所有非白名单出站。3)微隔离：a.使用服务标签（ServiceTag）+App-IDs，将财务数据库标签设为“DB-Finance”，端口TCP1433仅允许“App-WebERP”标签访问。b.所有访问需二次mTLS+令牌内嵌Scope“db.finance.read”，SDP网关在L7检查JWTScope与SPIFFEID一致性。4)动态授权：a.引入OPA（OpenPolicyAgent）作为策略引擎，输入包括用户风险评分、UEBA异常、威胁情报IOC命中。b.若OPA返回Deny，SDP网关向客户端发送HTTP401+头“X-Revoke-Reason:lateral-movement”，同时触发EDR隔离。5)协议字段：mTLSClientHello扩展“opaquesession_id<32..32>”携带设备健康度哈希，网关验证哈希与后端缓存一致。6)效果：即使C2持有合法证书，因无法伪造健康度哈希与Scope，横向移动请求被OPA拒绝，数据库连接无法建立。38.给出在Linux内核5.15下，利用eBPFLSM程序阻断“利用io_uring进行特权提升”攻击的完整源码（C语言），并解释hook点选择理由。答案：```cinclude<linux/bpf.h>include<linux/lsm.h>include<bpf/bpf_helpers.h>SEC("lsm/file_open")intBPF_PROG(block_io_uring_creat,structfilefile){intBPF_PROG(block_io_uring_creat,structfilefile){structtask_structt=current;structtask_structt=current;u32uid=bpf_get_current_uid_gid();/仅限制普通用户//仅限制普通用户/if(uid==0)return0;/若路径为/dev/io_uring且打开模式包含O_RDWR//若路径为/dev/io_uring且打开模式包含O_RDWR/if(file->f_path.dentry->d_iname[0]=='i'&&file->f_path.dentry->d_iname[8]=='g'){/io_uring/file->f_path.dentry->d_iname[8]=='g'){/io_uring/if(file->f_mode&FMODE_WRITE){return-EPERM;}}return0;}char_license[]SEC("license")="GPL";`