DFIR Interview Questions // lang-ru

Примеры вопросов на должность специалиста по реагированию на инциденты и компьютерной криминалистике

Операционные системы

1. Что такое 4d 5a? Что из себя представляет PE-файл (какие расширения можно отнести к этой категории)?
2. Как посмотреть библиотеки, использующиеся активным процессом (хендлы процесса)?
3. Назовите основные журналы безопасности Windows. При наличии факта успешно установленного RDP-соединения, какие журналы будут хранить информацию об этом подключении?
4. Где по умолчанию располагаются файлы реестра Windows? Могут ли там хранится какие-либо учетные данные (если да, то какие)?
5. Где можно найти какие-либо аутентификационные данные на рабочей станции? Приведите как можно больше примеров
6. В каком файле хранятся локальные пользователи и пароли в unix-based системах?
7. Как узнать права пользователя? Какая группа дает права локального администратора? // unix-based
8. Как можно посмотреть временные метки файла? Что такое inode? // unix-based
9. Укажите каталог, в котором хранятся все лог-файлы. В каком журнале фиксируются события аутентификации? // unix-based
10. Как определить процесс, который больше всего использует системных ресурсов в текущий момент?
11. Как вывести все активные процессы? Как принудительно завершить процесс?

Active Directory

1. Какие основные протоколы аутентификации в доменной среде вы знаете? В чем их отличие?
2. Что такое доверительные отношения между доменами?
3. Что такое SID? О чем говорит SID, заканчивающийся на -500 и -512?
4. Что за группа Protected Users, для чего она нужна?
5. Для чего нужен AppLocker и какие есть плюсы/минусы его использования?
6. Чем отличается Golden Ticket от Silver Ticket?
7. Специалистом по информационной безопасности было выдвинуто предположение об успешной атаке с применением техники Kerberoasting, на основе каких данных можно это подтвердить или опровергнуть? В чем конкретно заключается данная атака?
8. В ходе расследования инцидента вами было обнаружено, что учетная запись krbtgt отключена. Ваши действия?

Сети

1. Назовите известные вам номера портов и соответствующие службы (зарезервированные по умолчанию)
2. Что такое DNS? Назовите как минимум 4 типа DNS-записей и их предназначение. Алгоритм резолва доменного имени
3. В чем разница между TCP и UDP? Как работает TCP handshake?
4. По какому порту работает ICMP? Какие утилиты его используют?
5. Что такое NAT, DMZ, VLAN и зачем они нужны?
6. Чем отличается VPN от прокси-сервера?

DFIR

1. Чем отличается цифровая криминалистика (digital forensics) от реагирования на инциденты (digital forensics and incident response)?
2. Что такое ландшафт угроз и зачем он нужен? Актуальный ландшафт угроз для России и стран СНГ
3. Для чего используется матрица MITRE ATT&CK?
4. Чем отличаются атаки trusted relationships от supply chain? Можете привести примеры реальных атак?
5. Какие события безопасности вы бы выделили при первичном анализе данных для поиска низко висящих фруктов <при необходимости, дается контекст>?
6. Сколько временных меток можно найти у одного файла в файловых системах NTFS, ext2/ext4? В чем разница между временными метками Modified и Changed?
7. Какие источники криминалистических артефактов запуска файлов знаете? Prefetch / Amcache / ShimCache
8. Как можно определить, что найденное ПО – вредоносное, без его запуска (детонации)?
9. Что такое SIEM, опыт использования данного класса решений и/или конкретных продуктов
10. Чем отличается threat hunting от threat intelligence? Как связаны DFIR и TI?
11. Какие инструменты для анализа ОЗУ знаете?
12. При работе с фреймворком volatility, psscan работает дольше, чем pslist. Почему?
13. Назовите три наиболее распространенных вектора проникновения злоумышленника в сеть при атаках с использованием программ-вымогателей
14. Назовите наиболее популярные и известные вам техники закрепления злоумышленника на хосте
15. Приведите пару примеров техник, реализуемых злоумышленником в рамках противодействия криминалистическому анализу (контрфорензики) в *nix-based средах
16. На экране выведен результат работы команды ss -tulpn (или любые другие удобные для вас флаги). Какие признаки подозрительных сетевых соединений можете выделить, на что будете обращать внимание?

Практические вопросы

1. Перед вами предположительно зараженный включенный компьютер <дается контекст>. Вам нужно собрать данные, опишите последовательность действий
2. Пользователь сообщил, что получил подозрительное сообщение. Ваши действия? (email forensics)
3. Компания Рога и Копыта столкнулась с атакой шифровальщика. В компании имеется ряд средств защиты, ... <можно дать больше вводных>. С чего начнете расследование, какие рекомендации дадите в первую очередь?

Вернуться к началу →

https://t.me/ant19ova && https://t.me/s3Ch1n7