2025年信息系统安全专家MITREATTCK框架在安全监控中的实践专题试卷及解析.pdfVIP

2025年信息系统安全专家MITREATTCK框架在安全监控中的实践专题试卷及解析1

2025年信息系统安全专家MITREATTCK框架在安全

监控中的实践专题试卷及解析

2025年信息系统安全专家MITREATTCK框架在安全监控中的实践专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在MITREATTCK框架中，攻击者使用PowerShell执行恶意脚本的行为最

可能归类于哪个战术？

A、持久化

B、执行

C、防御规避

D、横向移动

【答案】B

【解析】正确答案是B。执行战术是指攻击者在目标系统上运行恶意代码的技术，

PowerShell是常见的执行手段。A持久化指维持访问权限，C防御规避指躲避检测，D

横向移动指网络内扩散。知识点：ATTCK战术分类。易错点：将PowerShell误认为

仅用于防御规避（如无文件攻击），但本题强调执行行为。

2、以下哪项技术属于ATTCK框架中的“凭证转储”？

A、Mimikatz工具使用

B、端口扫描

C、注册表修改

D、鱼叉式钓鱼

【答案】A

【解析】正确答案是A。Mimikatz是典型的凭证转储工具，用于提取系统密码。B

端口扫描属于发现战术，C注册表修改可能涉及持久化或防御规避，D鱼叉式钓鱼属于

初始访问战术。知识点：ATTCK技术细节。易错点：混淆凭证转储与其他战术的常

见技术。

3、在安全监控中，检测“通过服务创建持久化”行为应重点关注哪个日志源？

A、DNS查询日志

B、Windows事件日志（EID7045）

C、防火墙日志

D、Web访问日志

【答案】B

【解析】正确答案是B。Windows事件ID7045记录新服务安装，是检测持久化的

关键。ADNS日志用于发现C2通信，C防火墙日志监控网络流量，DWeb日志用于

2025年信息系统安全专家MITREATTCK框架在安全监控中的实践专题试卷及解析2

Web攻击检测。知识点：日志源与ATTCK技术的对应关系。易错点：忽视系统级日

志对持久化检测的重要性。

4、ATTCK框架中“T1059.001PowerShell”技术属于哪个子技术？

A、PowerShell命令行界面

B、PowerShell脚本执行

C、PowerShell无文件攻击

D、PowerShell混淆

【答案】A

【解析】正确答案是A。T1059.001明确指PowerShell命令行界面，B属于T1064

（脚本执行），C/D属于其他技术。知识点：ATTCK子技术编号规则。易错点：混淆

子技术编号与通用技术描述。

5、以下哪项是ATTCK框架“数据渗出”战术的典型技术？

A、加密压缩文件

B、利用合法云服务渗出

C、清除系统日志

D、提升权限

【答案】B

【解析】正确答案是B。利用合法云服务（如GitHub）渗出数据是T1567.001技术。

A加密压缩可能属于渗出前准备，C清除日志属于防御规避，D提升权限属于权限提升

战术。知识点：渗出战术的技术特征。易错点：将辅助行为误认为核心渗出技术。

6、在ATTCK框架中，“通过协议隧道化”属于哪个战术？

A、发现

B、横向移动

C、命令与控制

D、影响

【答案】C

【解析】正确答案是C。协议隧道化（如DNS隧道）是C2通信的典型技术。A发

现指信息收集，B横向移动指网络扩散，D影响指破坏数据或系统。知识点：C2战术

的技术范围。易错点：混淆隧道化与横向移动中的远程服务利用。

7、安全团队检测到“进程注入”行为，应优先关联ATTCK的哪个技术ID？

A、T1055

B、T1548

C、T1134

D、T1053

【答案】A

2025年信息系统安全专家MITREATTCK框架在安全监控中的实践专题试卷及解析3

【解析】正确答案是A。T1055是进程注入技术，BT1548是滥用提权控制机制，C

T1134是访问令牌操作，DT1053是计划任务。知识