2025年信息系统安全专家威胁狩猎中的攻击链分析专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎中的攻击链分析专题试卷及解析1

2025年信息系统安全专家威胁狩猎中的攻击链分析专题试

卷及解析

2025年信息系统安全专家威胁狩猎中的攻击链分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CyberKillChain攻击链模型中，攻击者通过钓鱼邮件发送恶意附件的阶段

属于哪个阶段？

A、侦察

B、武器化

C、传递

D、利用

【答案】C

【解析】正确答案是C。传递阶段指攻击者将武器化的载荷投递到目标环境，钓鱼

邮件是典型手段。A侦察是信息收集阶段，B武器化是制作恶意工具阶段，D利用是触

发漏洞阶段。知识点：CyberKillChain七阶段划分。易错点：混淆武器化与传递阶段。

2、威胁狩猎中，用于检测横向移动行为最有效的日志来源是？

A、Web服务器访问日志

B、Windows安全事件日志

C、DNS查询日志

D、防火墙流量日志

【答案】B

【解析】正确答案是B。Windows安全日志记录登录认证、远程访问等行为，能直

接反映横向移动。A侧重Web应用，C侧重域名解析，D侧重网络边界。知识点：横

向移动检测技术。易错点：忽视主机级日志的重要性。

3、MITREATTCK框架中，“T1059.001PowerShell”属于哪种战术？

A、权限提升

B、防御规避

C、执行

D、持久化

【答案】C

【解析】正确答案是C。PowerShell属于执行战术下的技术。A是获取更高权限，B

是逃避检测，D是维持访问。知识点：ATTCK战术与技术分类。易错点：混淆技术

手段与战术目标。

4、在攻击链分析中，“LivingofftheLand”攻击的主要特征是？

A、使用零日漏洞

2025年信息系统安全专家威胁狩猎中的攻击链分析专题试卷及解析2

B、利用系统自带工具

C、部署后门程序

D、加密通信流量

【答案】B

【解析】正确答案是B。LivingofftheLand指滥用系统合法工具如PowerShell、

WMIC等。A是漏洞利用方式，C是持久化手段，D是通信方式。知识点：无文件攻击

技术。易错点：将所有隐蔽攻击误认为LivingofftheLand。

5、威胁狩猎时发现某进程频繁访问LSASS进程内存，最可能的行为是？

A、数据收集

B、凭证窃取

C、权限提升

D、系统扫描

【答案】B

【解析】正确答案是B。LSASS存储系统凭证，访问其内存是典型凭证窃取行为。A

是信息收集，C是提权，D是探测。知识点：凭证窃取技术。易错点：混淆进程访问与

正常系统行为。

6、在DiamondModel威胁分析模型中，“Adversary”要素指的是？

A、攻击基础设施

B、攻击者能力

C、攻击动机

D、攻击组织

【答案】D

【解析】正确答案是D。DiamondModel中Adversary指攻击者实体或组织。A是

Infrastructure，B是Capability，C是Motivation。知识点：DiamondModel四要素。

易错点：将攻击者特征与要素本身混淆。

7、检测”PasstheHash”攻击最有效的指标是？

A、异常登录时间

B、重复的NTLM认证

C、大量DNS查询

D、可疑文件创建

【答案】B

【解析】正确答案是B。PtH攻击会重复使用相同NTLM哈希认证。A是时间特

征，C是网络行为，D是文件操作。知识点：哈希传递攻击检测。易错点：忽视认证日

志的分析价值。

8、在攻击链分析中，“CommandandControl”阶段的主要目的是？

2025年信息系统安全专家威胁狩猎中的攻击链分析专题试卷及解析