2025年信息系统安全专家APT攻击识别与狩猎专题试卷及解析.pdfVIP

2025年信息系统安全专家APT攻击识别与狩猎专题试卷及解析1

2025年信息系统安全专家APT攻击识别与狩猎专题试卷

及解析

2025年信息系统安全专家APT攻击识别与狩猎专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在APT攻击的初始访问阶段，攻击者最常利用的攻击向量是什么？

A、暴力破解管理员密码

B、利用零日漏洞的鱼叉式钓鱼邮件

C、物理接触目标设备

D、通过公开的API接口扫描

【答案】B

【解析】正确答案是B。APT组织倾向于使用鱼叉式钓鱼邮件配合零日漏洞作为初

始访问手段，因为这种方式隐蔽性强、成功率高。A选项暴力破解容易被检测；C选项

物理接触对APT来说风险过高；D选项API扫描更多用于信息收集而非初始入侵。知

识点：APT攻击生命周期。易错点：容易混淆普通黑客攻击与APT攻击的初始访问方

式差异。

2、以下哪种技术最适合用于检测APT攻击中的横向移动行为？

A、传统防火墙规则

B、网络流量异常检测

C、定期漏洞扫描

D、杀毒软件特征库更新

【答案】B

【解析】正确答案是B。APT攻击的横向移动通常表现为异常的网络连接模式，流

量异常检测能有效识别这种偏离基线的行为。A选项防火墙规则基于已知威胁；C选项

漏洞扫描是预防性措施；D选项杀毒软件对新型APT攻击效果有限。知识点：横向移

动检测技术。易错点：容易忽视传统安全工具对APT攻击的局限性。

3、在威胁狩猎中，假设驱动的狩猎方法主要依赖什么？

A、随机日志抽样

B、已知的IOC指标

C、攻击者的TTPs分析

D、用户行为基线

【答案】C

【解析】正确答案是C。假设驱动狩猎基于对攻击者战术、技术和过程的假设进行

主动搜索。A选项随机抽样效率低；B选项IOC驱动是被动响应；D选项基线分析属

2025年信息系统安全专家APT攻击识别与狩猎专题试卷及解析2

于行为检测范畴。知识点：威胁狩猎方法论。易错点：容易混淆假设驱动与IOC驱动

的区别。

4、APT组织通常使用哪种技术来维持对目标网络的长期访问？

A、定期更换C2服务器

B、创建合法的系统服务

C、利用硬件后门

D、部署勒索软件

【答案】B

【解析】正确答案是B。创建合法系统服务是APT常用的持久化手段，隐蔽性强且

难以清除。A选项频繁更换C2会增加暴露风险；C选项硬件后门成本高；D选项勒索

软件会破坏隐蔽性。知识点：APT持久化技术。易错点：容易忽视APT攻击对隐蔽性

的极端重视。

5、在分析APT攻击时，MITREATTCK框架主要帮助安全团队解决什么问题？

A、漏洞补丁管理

B、标准化攻击行为描述

C、加密流量解密

D、用户权限分配

【答案】B

【解析】正确答案是B。ATTCK框架提供了标准化的攻击行为分类体系。A选

项属于漏洞管理范畴；C选项需要专门的解密技术；D选项是身份管理问题。知识点：

ATTCK框架应用。易错点：容易混淆技术框架与安全工具的功能定位。

6、以下哪个特征最可能表明存在APT攻击的数据窃取行为？

A、大量小文件外传

B、常规备份流量

C、视频会议流量

D、软件更新下载

【答案】A

【解析】正确答案是A。APT组织通常采用分块、加密的方式窃取敏感数据，表现

为大量小文件外传。B、C、D都是正常业务流量。知识点：数据渗漏检测。易错点：容

易忽视APT数据窃取的特殊模式。

7、在威胁狩猎中，钻石模型主要用于分析什么？

A、漏洞利用链

B、攻击事件关联性

C、系统配置合规性

D、网络拓扑结构

2025年信息系统安全专家APT攻击识别与狩猎专题试卷及解析3

【答案】B

【解