广东省第三届职业技能大赛"网络安全项目"B模块任务书
-
-
-
- [PS: 关注鱼影安全](#PS: 关注鱼影安全)
- [第一部分 网络安全事件响应](#第一部分 网络安全事件响应)
-
- [任务 1:应急响应](#任务 1:应急响应)
- [第二部分 数字取证调查](#第二部分 数字取证调查)
-
- [任务 2 :操作系统取证](#任务 2 :操作系统取证)
- [任务 3: 网络数据包分析取证](#任务 3: 网络数据包分析取证)
- [任务 4: 计算机单机取证](#任务 4: 计算机单机取证)
- [第三部分 应用程序安全:](#第三部分 应用程序安全:)
-
- [任务 5:应用程序安全分析](#任务 5:应用程序安全分析)
- [任务 6:代码审计](#任务 6:代码审计)
- 需要环境可以私信博主~
-
-
PS: 关注鱼影安全
模块 B 竞赛项目试题
本文件为:广东省第三届职业技能大赛网络安全项目试题-模块 B
本次比赛时间为 4 个小时。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
(1)当竞赛结束,离开时请不要关机;
(2)所有配置应当在重启后有效;
(3)请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
根据目前技术描述中的技能大赛标准规范,这个测试项目模块分数为 35 分。
项目和任务的描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。
任务分为以下几个部分:
●网络安全事件响应
●数字取证调查
●应用程序安全
本部分的各任务试题素材已放置在选手操作机对应任务目录下,参赛选手完成任务后, 请将答案填写在电脑桌面上"广东省第三届职业技能大赛网络安全项目-模块 B 答题卷"中。
选手的电脑中已提供了竞赛所需的软件。
选手的电脑中已提供了竞赛所需的软件。
工作任务
第一部分 网络安全事件响应
任务 1:应急响应
A 集团的 WebServer 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系 统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行 全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为, 和残留的关键证据信息。
本任务素材清单:WebServer 服务器虚拟机
受攻击的 WebServer 服务器已打包成 VMWare 虚拟机并做好快照,请选手自行导入并恢复快照分析。
系统登录用户名/密码:skills 123456
mysql 数据库账户/密码: skills 123456
注意:WebServer 服务器的基本配置信息若题目中未明确说明,请使用默认配置。请按答题卡的要求完成该部分的工作任务。
| 序列 | 任务要求 |
|---|---|
| 1 | 请提交攻击者的IP地址 |
| 2 | 请写出攻击者使用的操作系统 |
| 3 | 请提交攻击者首次攻击成功的时间格式: DD /MM/YY:HH:MM:SS |
| 4 | 请提交攻击者上传的恶意文件并且给出的所在路径并且给出文件名 |
| 5 | 请找到攻击者写入的恶意后门文件,提交后门密码以及shell管理工具 |
| 6 | 请提交恶意程序文件(含路径) |
| 7 | 请提交恶意程序文件的sha256哈希值 |
第二部分 数字取证调查
任务 2 :操作系统取证
A 集团某电脑系统被恶意份子攻击并控制,怀疑其执行了破坏操作,窃取了集团内部的敏感信息,现请分析 A 集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:内存镜像(*.vmem)
请按答题卡的要求完成该部分的工作任务。
| 序号 | 任务要求 |
|---|---|
| 1 | 请指出恶意进程的PID号: |
| 2 | 请写出恶意进程所调用的动态链接库的路径 |
| 3 | 请指出Aruccer .dII在内存中的地址 |
| 4 | 请给出恶意进程所利用动态链接库释放的恶意文件名(含路径) |
| 5 | 请给出动态链接库释放的文件程序对外连接的目的IP地址和端口号 |
任务 3: 网络数据包分析取证
A 集团的网络安全监控系统发现有恶意攻击者对集团官方网站进行攻击,并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,并分析黑客的恶意行为。
本任务素材清单:捕获的网络数据包文件(*.pcap)
请按答题卡的要求完成该部分的工作任务。
| 序号 | 任务要求 |
|---|---|
| 1 | 请还原并提交攻击者第一次使用的webshell最简化形式 |
| 2 | 请分析攻击读取flag使用的命令 |
| 3 | 请提交攻击者读取的flag值并提交格式:{...} |
| 4 | 请分析攻击者上传的windows应用程序并提交程序里面隐藏的flag内容 |
任务 4: 计算机单机取证
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为"evidence 1"、"evidence 2"、......、"evidence 10",有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
本任务素材清单:取证镜像文件(*.e01)
请按答题卡的要求完成该部分的工作任务。
注:每条证据必须文件名和 Hash 码均答对才得分。
| 证据编号 | 取证的文件名称/MD5值 |
|---|---|
| evidence1 | |
| evidence2 | |
| evi dence3 | |
| evidence4 | |
| evidence5 | |
| evidence6 | |
| evidence7 | |
| evidence8 | |
| evidence9 | |
| evidence10 |
第三部分 应用程序安全:
任务 5:应用程序安全分析
A 集团在网络监控过程中发现有可疑的应用程序样本,你的团队需要协助 A 集团对该可疑应用程序进行逆向分析,对黑客攻击的行为进行调查取证,提交相关信息取证分析报告。
本任务素材清单:应用程序文件(*.exe)
请按答题卡的要求完成该部分的工作任务。
| 序号 | 任务要求 |
|---|---|
| 1 | 请写出该恶意程序的壳是什么? |
| 2 | 请写该恶意程序的反向链接ip是多少? |
| 3 | 请指出该恶意程序是通过什么命令反弹的shell? |
任务 6:代码审计
代码审计是指对源代码进行检查,寻找代码存在的脆弱性,这是一项需要多方面技能的技术。作为一项软件安全检查工作,代码安全审查是非常重要的一部分,因为大部分代码从语法和语义上来说是正确的,但存在着可能被利用的安全漏洞,你必须依赖你的知识和经验来完成这项工作。
本任务素材清单:在 word 中展示的源代码片段(*.c)
请按答题卡的要求完成该部分的工作任务。
| 序号 | 任务要求 |
|---|---|
| 1 | 请指出存在安全问题的代码行(如有多处,请指出第一行) |
| 2 | 该安全问题是什么类型漏洞 |
| 3 | 该漏洞如何修复(不能引入新的外部函数) |
分值分配表
| 序号 | 描述 分值 |
|---|---|
| B | 网络安全事件响应、数字取证调查、应用程序安全 35 |
| B1 | 应急响应 8 |
| B2 | 操作系统取证 6 |
| B3 | 网络数据包分析取证 6 |
| B4 | 计算机单机取证 7 |
| B5 | 应用程序安全分析 6 |
| B6 | 代码审计 2 |