• 比賽時(shí)間及注意事項(xiàng)

本階段比賽時(shí)長(zhǎng)為180分鐘，時(shí)間為13:30-16:30。

【注意事項(xiàng)】

1. 比賽結(jié)束，不得關(guān)機(jī)；
2. 選手首先需要在U盤(pán)的根目錄下建立一個(gè)名為“AGWxx”的文件夾（xx用具體的工位號(hào)替代），請(qǐng)將賽題第二階段所完成的“信息安全管理與評(píng)估競(jìng)賽答題卡-模塊二”答題文檔，放置在“AGWxx”文件夾中。

例如：08工位，則需要在U盤(pán)根目錄下建立“AGW08”文件夾，請(qǐng)將第二階段所完成的“信息安全管理與評(píng)估競(jìng)賽答題卡-模塊二”答題文檔，放置在“AGW08”文件夾中。

1. 請(qǐng)不要修改實(shí)體機(jī)的配置和虛擬機(jī)本身的硬件參數(shù)。

• 所需軟硬件設(shè)備和材料

所有測(cè)試項(xiàng)目都可由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。

• 評(píng)分方案

本階段總分?jǐn)?shù)為300分。

• 項(xiàng)目和任務(wù)描述

隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信息竊取、信息篡改、遠(yuǎn)程控制等各種網(wǎng)絡(luò)攻擊行為已嚴(yán)重威脅到信息系統(tǒng)的機(jī)密性、完整性和可用性。因此，對(duì)抗網(wǎng)絡(luò)攻擊，組織安全事件應(yīng)急響應(yīng)，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)安全防護(hù)的重要部分?，F(xiàn)在，A集團(tuán)已遭受來(lái)自不明組織的非法惡意攻擊，您的團(tuán)隊(duì)需要幫助A集團(tuán)追蹤此網(wǎng)絡(luò)攻擊來(lái)源，分析惡意攻擊攻擊行為的證據(jù)線(xiàn)索，找出操作系統(tǒng)和應(yīng)用程序中的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線(xiàn)。

本模塊主要分為以下三個(gè)部分：

1. 網(wǎng)絡(luò)安全事件響應(yīng)
2. 數(shù)字取證調(diào)查
3. 應(yīng)用程序安全

• 工作任務(wù)

第一部分?網(wǎng)絡(luò)安全事件響應(yīng)

任務(wù)1：CentOS服務(wù)器應(yīng)急響應(yīng)（70分）

A集團(tuán)的應(yīng)用服務(wù)器被黑客入侵，該服務(wù)器的Web應(yīng)用系統(tǒng)被上傳惡意軟件，系統(tǒng)文件被惡意軟件破壞，您的團(tuán)隊(duì)需要幫助該公司追蹤此網(wǎng)絡(luò)攻擊的來(lái)源，在服務(wù)器上進(jìn)行全面的檢查，包括日志信息、進(jìn)程信息、系統(tǒng)文件、惡意文件等，從而分析黑客的攻擊行為，發(fā)現(xiàn)系統(tǒng)中的漏洞，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)。

本任務(wù)素材清單：CentOS服務(wù)器虛擬機(jī)。

受攻擊的Server服務(wù)器已整體打包成虛擬機(jī)文件保存，請(qǐng)自行導(dǎo)入分析。

用戶(hù)名：root

密??碼：nanyidian..

請(qǐng)按要求完成該部分的工作任務(wù)。?

任務(wù)1：CentOS服務(wù)器應(yīng)急響應(yīng)
序號(hào)	任務(wù)內(nèi)容	答案
1	請(qǐng)?zhí)峤痪W(wǎng)站管理員的用戶(hù)名和密碼
2	攻擊者通過(guò)應(yīng)用后臺(tái)修改了某文件獲取了服務(wù)器權(quán)限，請(qǐng)?zhí)峤辉撐募奈募?/p>
3	攻擊者通過(guò)篡改文件后，可通過(guò)該網(wǎng)站官網(wǎng)進(jìn)行任意未授權(quán)命令執(zhí)行，請(qǐng)?zhí)峤焕迷撃抉R執(zhí)行phpinfo的payload,例如:/shell.php?cmd=phpinfo();
4	攻擊者進(jìn)一步留下的免殺的webshell在網(wǎng)站中，請(qǐng)?zhí)峤辉搒hell的原文最簡(jiǎn)式，例如：?<?php ...?>
5	攻擊者修改了某文件，導(dǎo)致webshell刪除后會(huì)自動(dòng)生成，請(qǐng)?zhí)峤辉撐募慕^對(duì)路徑
6	請(qǐng)?zhí)峤痪W(wǎng)站服務(wù)連接數(shù)據(jù)庫(kù)使用的數(shù)據(jù)庫(kù)賬號(hào)和密碼
7	請(qǐng)?zhí)峤还粽咴跀?shù)據(jù)庫(kù)中留下的信息，格式為：flag{...}

第二部分 數(shù)字取證調(diào)查

任務(wù)2?：基于Windows的內(nèi)存取證（40分）

A集團(tuán)某服務(wù)器系統(tǒng)感染惡意程序，導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，請(qǐng)分析A集團(tuán)提供的系統(tǒng)鏡像和內(nèi)存鏡像，找到系統(tǒng)鏡像中的惡意軟件，分析惡意軟件行為。

本任務(wù)素材清單：內(nèi)存鏡像（*.raw）。

任務(wù)2：基于Windows的內(nèi)存取證
序號(hào)	任務(wù)內(nèi)容	答案
1	請(qǐng)指出內(nèi)存中疑似惡意進(jìn)程
2	請(qǐng)指出該員工使用的公司OA平臺(tái)的密碼
3	黑客傳入一個(gè)木馬文件并做了權(quán)限維持，請(qǐng)問(wèn)木馬文件名是什么
4	請(qǐng)?zhí)峤辉撚?jì)算機(jī)中記錄的重要聯(lián)系人的家庭住址

請(qǐng)按要求完成該部分的工作任務(wù)。

任務(wù)3：通信數(shù)據(jù)分析取證（50分）

A集團(tuán)的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)發(fā)現(xiàn)惡意份子正在實(shí)施高級(jí)可持續(xù)攻擊（APT），并抓取了部分可疑流量包。請(qǐng)您根據(jù)捕捉到的流量包，搜尋出網(wǎng)絡(luò)攻擊線(xiàn)索，分解出隱藏的惡意程序，并分析惡意程序的行為。

本任務(wù)素材清單：捕獲的通信數(shù)據(jù)文件。

請(qǐng)按要求完成該部分的工作任務(wù)。

任務(wù)3：通信數(shù)據(jù)分析取證
序號(hào)	任務(wù)內(nèi)容	答案
1	請(qǐng)?zhí)峤痪W(wǎng)絡(luò)數(shù)據(jù)包中傳輸?shù)目蓤?zhí)行的惡意程序文件名
2	請(qǐng)?zhí)峤辉搻阂獬绦蛳螺d載荷的IP和端口
3	請(qǐng)?zhí)峤粣阂獬绦蜉d荷讀取的本地文件名（含路徑）
4	請(qǐng)?zhí)峤粣阂獬绦蜃x取的本地文件的內(nèi)容

任務(wù)4：基于Linux計(jì)算機(jī)單機(jī)取證（60分）

對(duì)給定取證鏡像文件進(jìn)行分析，搜尋證據(jù)關(guān)鍵字（線(xiàn)索關(guān)鍵字為“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有圖片形式，不區(qū)分大小寫(xiě)），請(qǐng)?zhí)崛『凸潭ū荣愐蟮臉?biāo)的證據(jù)文件，并按樣例的格式要求填寫(xiě)相關(guān)信息，證據(jù)文件在總文件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可能需要運(yùn)用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫(xiě)技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)，還需要熟悉常用的文件格式（如辦公文檔、壓縮文檔、圖片等）。

本任務(wù)素材清單：取證鏡像文件。

請(qǐng)按要求完成該部分的工作任務(wù)。

任務(wù)4：基于Linux計(jì)算機(jī)單機(jī)取證
證據(jù)編號(hào)	在取證鏡像中的文件名	鏡像中原文件Hash碼（MD5，不區(qū)分大小寫(xiě)）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10

第三部分 應(yīng)用程序安全

任務(wù)5：Android惡意程序分析（50分）

A集團(tuán)發(fā)現(xiàn)其發(fā)布的Android移動(dòng)應(yīng)用程序文件遭到非法篡改，您的團(tuán)隊(duì)需要協(xié)助A集團(tuán)對(duì)該惡意程序樣本進(jìn)行逆向分析、對(duì)其攻擊/破壞的行為進(jìn)行調(diào)查取證。

本任務(wù)素材清單：Android移動(dòng)應(yīng)用程序文件。

請(qǐng)按要求完成該部分的工作任務(wù)。

?任務(wù)5：Android惡意程序分析
序號(hào)	任務(wù)內(nèi)容	答案
1	提交素材中的惡意應(yīng)用回傳數(shù)據(jù)的url地址
2	提交素材中的惡意代碼保存數(shù)據(jù)文件名稱(chēng)（含路徑）
3	提交素材中的惡意行為發(fā)起的dex的SHA1簽名值
4	描述素材中惡意代碼的行為

任務(wù)6：C代碼審計(jì)（30分）

代碼審計(jì)是指對(duì)源代碼進(jìn)行檢查，尋找代碼存在的脆弱性，這是一項(xiàng)需要多方面技能的技術(shù)。作為一項(xiàng)軟件安全檢查工作，代碼安全審查是非常重要的一部分，因?yàn)榇蟛糠执a從語(yǔ)法和語(yǔ)義上來(lái)說(shuō)是正確的，但存在著可能被利用的安全漏洞，你必須依賴(lài)你的知識(shí)和經(jīng)驗(yàn)來(lái)完成這項(xiàng)工作。

本任務(wù)素材清單：C源代碼文件。

請(qǐng)按要求完成該部分的工作任務(wù)。

?任務(wù)6：C代碼審計(jì)
序號(hào)	任務(wù)內(nèi)容	答案
1	請(qǐng)指出本段代碼存在什么漏洞
2	請(qǐng)指出存在漏洞的函數(shù)名稱(chēng)，例如：scanf