模块二
网络安全事件响应、数字取证调查、应用程序安全

竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查。
本次比赛时间为90分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
●网络安全事件响应
●数字取证调查
工作任务
第一部分 网络安全事件响应
任务1：Unix服务器应急响应（130分）
A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Unix服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。

培训、环境、资料、考证
公众号：Geek极安云科
网络信息安全群：624032112
网络系统管理群：223627079
网络建设与运维群：870959784

极安云科专注于技能提升，赋能 
2024年世界职业院校技能大赛争夺赛一等奖2所、二等奖3所、三等奖4所院校获奖！ 
2024年广东省高校的技能提升，受赋能的客户院校均获奖！
2024年江苏省赛一二等奖前13名中，我们赋能客户占五支队伍！
2024年湖南省赛赋能三所院校均获奖！
2024年山东省赛赋能两所院校均获奖！
2024年湖北省赛赋能参赛院校九支队伍，共计斩获一等奖2项、三等奖7项!

任务1：Unix服务器虚拟机
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
9 请提交恶意进程对外连接的IP地址

第二部分 数字取证调查
任务2：基于MacOS的内存取证（80分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于MacOS的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型

任务3：通信数据分析取证(工控)（90分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证(工控)
序号 任务内容 答案
1 请提交攻击者通过什么协议发起的攻击
2 请提交攻击者第一次攻击成功的时间
3 请提交攻击者在目标主机上上传的文件名
4 请解密出上传的文件内容