2025年信息系统安全专家安全审计中的威胁狩猎专题试卷及解析.pdfVIP

2025年信息系统安全专家安全审计中的威胁狩猎专题试卷及解析1

2025年信息系统安全专家安全审计中的威胁狩猎专题试卷

及解析

2025年信息系统安全专家安全审计中的威胁狩猎专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎活动中，安全分析师发现某内部服务器持续向外部未知IP地址发送

加密流量，但未触发任何告警。这种行为最可能属于哪种威胁类型？

A、DDoS攻击

B、数据泄露

C、端口扫描

D、凭证填充

【答案】B

【解析】正确答案是B。数据泄露通常表现为内部系统向外部异常传输数据，且攻

击者常使用加密流量以规避检测。A选项DDoS攻击会产生大量异常流量，通常会被

检测到；C选项端口扫描是探测行为，不会持续发送数据；D选项凭证填充是登录尝试

行为，与数据传输特征不符。知识点：威胁狩猎中的异常流量分析。易错点：容易将加

密流量误判为正常业务通信。

2、在进行威胁狩猎时，分析师发现域控制器日志中存在大量异常的Kerberos票据

请求，且请求的服务主体名称（SPN）异常。这最可能是哪种攻击的迹象？

A、PasstheHash

B、GoldenTicket

C、SilverTicket

D、PasstheTicket

【答案】B

【解析】正确答案是B。GoldenTicket攻击会伪造Kerberos票据，通常表现为异常

的SPN请求。A选项PasstheHash是利用哈希值进行认证，不会产生票据请求；C选

项SilverTicket针对特定服务，不会大量请求SPN；D选项PasstheTicket是重用合法

票据，不会产生异常请求。知识点：Kerberos协议攻击检测。易错点：容易混淆不同票

据攻击的特征。

3、威胁狩猎团队在Windows事件日志中发现ID为4688的事件记录了PowerShell

进程启动，且命令行参数包含”enc”和Base64编码字符串。这种行为最可能表明什么？

A、正常系统管理

B、恶意脚本执行

C、系统更新

D、日志清理

2025年信息系统安全专家安全审计中的威胁狩猎专题试卷及解析2

【答案】B

【解析】正确答案是B。PowerShell的”enc”参数常被攻击者用于执行Base64编码

的恶意脚本以规避检测。A选项正常管理通常使用明文命令；C选项系统更新不会使用

Base64编码；D选项日志清理不会启动PowerShell进程。知识点：PowerShell攻击检

测。易错点：可能误判为合法管理行为。

4、在威胁狩猎过程中，分析师发现某终端设备存在异常的进程树结构，其中父进

程为Office应用程序，子进程为cmd.exe。这种行为最可能属于哪种攻击技术？

A、LivingofftheLand

B、进程注入

C、宏恶意软件

D、DLL劫持

【答案】C

【解析】正确答案是C。宏恶意软件常通过Office文档启动命令行进程。A选项

LivingofftheLand使用系统自带工具，但不会通过Office启动；B选项进程注入不会

改变进程树结构；D选项DLL劫持是动态链接库劫持，与进程树无关。知识点：恶意

软件行为分析。易错点：容易忽略Office应用启动cmd.exe的异常性。

5、威胁狩猎团队在流量分析中发现DNS查询存在异常模式，包括超长域名查询和

TXT记录请求。这种行为最可能表明什么？

A、DNS隧道

B、DNS放大攻击

C、DNS劫持

D、DNS缓存投毒

【答案】A

【解析】正确答案是A。DNS隧道常使用超长域名和TXT记录传输数据。B选项

DNS放大攻击会产生大量查询但不会使用超长域名；C选项DNS劫持是解析劫持，与

查询模式无关；D选项DNS缓存投毒是污染缓存，不会产生特定查询模式。知识点：

DNS攻击检测。易错点：可能将TXT记录请求误