2025年信息系统安全专家企业网络威胁狩猎实战案例专题试卷及解析.pdfVIP

2025年信息系统安全专家企业网络威胁狩猎实战案例专题试卷及解析1

2025年信息系统安全专家企业网络威胁狩猎实战案例专题

试卷及解析

2025年信息系统安全专家企业网络威胁狩猎实战案例专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在企业网络威胁狩猎中，安全团队发现某台服务器在凌晨3点出现大量异常

DNS查询，查询域名呈现DGA（域名生成算法）特征。这最可能是哪种攻击活动的迹

象？

A、内部员工违规操作

B、APT组织的C2通信

C、正常的软件更新

D、网络设备故障

【答案】B

【解析】正确答案是B。DGA域名是恶意软件与C2服务器通信的典型特征，APT

组织常使用此技术规避检测。A选项违规操作不会产生DGA特征；C选项软件更新通

常使用固定域名；D选项设备故障不会产生有规律的DNS查询。知识点：恶意软件通

信特征识别。易错点：可能误判为正常业务流量，需结合时间、频率等综合分析。

2、威胁狩猎团队通过EDR日志发现某终端存在PowerShell无文件攻击活动，攻

击者使用了”InvokeMimikatz”命令。该命令的主要目的是什么？

A、横向移动

B、权限提升

C、凭证窃取

D、数据窃取

【答案】C

【解析】正确答案是C。InvokeMimikatz是专门用于从内存中提取明文凭据的工具，

是凭证窃取的典型手段。A选项横向移动需要凭证支持但不是该命令直接目的；B选项

权限提升通常通过其他漏洞利用实现；D选项数据窃取发生在获取凭证之后。知识点：

PowerShell攻击工具链分析。易错点：容易混淆攻击阶段与具体工具功能。

3、在企业内网威胁狩猎中，发现某台域控制器存在异常的LDAP查询，查询条件

包含”admin”关键词且查询频率异常。这最可能预示着什么攻击行为？

A、Kerberoasting攻击

B、PasstheHash攻击

C、GoldenTicket攻击

D、DCSync攻击

【答案】A

2025年信息系统安全专家企业网络威胁狩猎实战案例专题试卷及解析2

【解析】正确答案是A。Kerberoasting攻击需要通过LDAP查询寻找高权限服务

账户，“admin”关键词表明攻击者在寻找管理员账户。B选项PtH不需要LDAP查询；

C选项GoldenTicket需要KRBTGT哈希而非LDAP查询；D选项DCSync涉及目

录复制而非普通查询。知识点：域环境攻击手法识别。易错点：可能误判为正常管理操

作，需结合查询频率和来源IP分析。

4、威胁狩猎团队在分析网络流量时发现，某台服务器定期向外部IP发送加密数据

包，大小恒定为1KB，间隔30秒。这种流量模式最符合哪种C2通信特征？

A、DNS隧道

B、ICMP隧道

C、HTTP/HTTPS心跳

D、SMB隧道

【答案】C

【解析】正确答案是C。固定大小、固定间隔的加密通信是典型的HTTP/HTTPS

心跳包特征，用于维持C2连接。A选项DNS隧道通常有大量查询；B选项ICMP隧

道包大小不固定；D选项SMB隧道会产生更多协议交互。知识点：C2通信流量模式

分析。易错点：可能忽略加密流量的时间规律性。

5、在企业云环境中，威胁狩猎团队发现某IAM角色被异常调用，该角色具有”

AssumeRole”权限且调用源IP来自境外。这最可能是什么攻击场景？

A、SSRF攻击

B、实例元数据攻击

C、跨租户攻击

D、凭证泄露滥用

【答案】D

【解析】正确答案是D。境外IP异常调用高权限IAM角色通常表明凭证已泄露并

被滥用。A选项SSRF攻击源IP应为云内；B选项元数据攻击不会产生跨区域调用；

C选项跨租户攻击需要特定漏洞利用。知识点：云环境威胁检测。易错点：可能误判为

正常业务调用，需结合地理位置和调用模式分析。

6、威胁狩猎团