2024中国能源网络安全大赛-②决赛 - 团队赛

输配电场景

操作员站异常访问

题目内容： 操作员站已经沦陷，频繁存在非工作人员IP地址访问3389端口，请检查风险项并进行清理，并设置用户帐户被锁定的登录尝试失败的次数为30

Done | 操作员站恶意代码

题目内容：安全人员发现当前主机怀疑存在无文件/落地了ps1文件，尝试寻找并分析存在异常内容，解密数据，提取到包含IP明文信息的数据（文件末尾20字节），将该数据的16进制数据作为flag进行提交。例如：提取到数据为b’\xff\xff21.245.253.72\x00\x00\x01\x86\xa0’ 16进制为 FFFF32312E3234352E3235332E373200000186A0,则flag为 flag{FFFF32312E3234352E3235332E373200000186A0}

解题过程:

找到 package.ps1, 解码末尾有关键信息

Done | 能源管理后门查杀

题目内容：能源管理系统Web应用框架被攻击者留下了后门，请定位分析后清理相关后门程序。

解题过程: 在 web.config 中删除 SysteManagenentAutomcat.dll 相关配置, 删除SysteManagenentAutomcat.dll文件. 重启IIS

Done | 能源管理漏洞分析

题目内容：能源管理系统存在owasp-top10安全漏洞，请分析相关攻击行为，针对漏洞进行防护及网站连接数据库账户降权。具体加固方式在满足竞赛规则条件下不做额外限制。

软件中数据库使用sa用户，新建用户，使用新用户启动软件即可，另一张图没截取

新能源发电场景

恶意蠕虫病毒清理

题目内容：操作系统感染了恶意蠕虫病毒并释放了挖矿程序，请针对[文件、服务、挖矿进程]分别进行清理，恢复系统正常运行状态

解题过程:

C:\Windows\System32\SecureBootThemes\spoolsv.exe

未成功清除

设备管理临时修复

题目内容：结合日志和监测攻击行为，针对WEB应用存在的漏洞进行防护加固，具体加固方式在满足竞赛规则条件下不做额外限制

Done | 设备管理Webshell

题目内容：设备管理系统WEB应用存在后门代码，请分析定位后并完成清理工作

解题过程:

删除 C:\Program Files (x86)\iView\Apache Software Foundation\Tomcat6.0\webapps\examples\jsp\cal

NSA黑客武器攻击

题目内容： 操作系统遭受了黑客利用NSA黑客武器库泄漏的工具发起的网络攻击事件，为了临时缓解风险，请采用如下方式处置 1.关闭存在漏洞的服务端口 2.清理开机持久化后门

施耐德电气协议防护

题目内容：UMAS协议是施耐德电气（SE）的专有协议，用于配置和监控施耐德电气PLC，通过UMAS协议可以执行一些高权限的操作，例如对PLC启动/停止操作。该协议存在一些高危风险，攻击者可以利用攻击脚本完成PLC未授权启动/停止操作，对工厂生产控制系统带来严重的危害，请针对这一情况请利用你所掌握的知识对PLC未授权启动/停止操作的行为进行防御。注意：如需操作PLC环境请点击右上角拓扑场景

Done | 逻辑控制安全防护

题目内容：演练活动即将开启，为了防止某时间段工业设备点位被恶意算改，请通过赛题提供的工控防火墙针对写线圈进行加固。请注意:防火墙仅限该题使用，且不能干扰上下位正常通讯(仅允许读操作)。在检测期间，请保证104#断路器处于合闸状态。

工控防火墙: https://[见当前场景拓扑中外部地址]:10443
账户: superadmin
密码: M2B*h%-3ls

题目答案：防火墙模式改为防护模式，入侵检测服务开启，防火墙双击热备开启， 三层访问控制策略开启。 解题过程：根据战队网络拓扑图，题目提供的用户名密码登录防护墙，在防火墙模 式改为防护模式，入侵检测服务开启，防火墙双击热备开启，三层访问控制策略开启。

智能制造场景

Done | Scada组态软件加固

题目内容：黑客拿下工程师站管理员权限，未设置权限控制的Scada的组态软件可在工艺监控画面上随意操作。请对Scada系统（非操作系统）进行加固。加固完成后应当保持scada系统运行正常，请完成如下全部配置后举手示意，此题由裁判人工判分。

1.对Scada系统的工程文件进行加密

2.创建用户，设置强登录口令，分配具备的安全区权限。

3.画面的按钮、输入框等需要操作的行为划分安全区（即限制某个用户可以操作）。

解题过程: https://www.cnblogs.com/zhao-xin/p/13131154.html

Done | 持久化威胁分析

题目内容：管理员发现操作系统每间隔10分钟就会执行一次创建账户，请清理计划任务文件、后门程序文件、及注册表

解题过程:

1.计划任务中删除 taskhost
2.C:\users\administrator\Appdata\Roaming\Miscrosoft\Windows\Themes 删除对应文件
3.注册表搜索并删除 taskhost

工业生产数据窃密

题目内容：仿真器PLC经常存在非组态软件访问的情况，请检查读点位所用hex报文和对应具体组态工程画面位置文字作为flag提交，如读取报文为0300001f02f08032010000031a000e00000401120a10020002000083005dc0,响应报文为0300001b02f08032030000031a0002000600000401ff0400100000，工程中位置为皮带传送，则flag为flag{皮带传送-0300001f02f08032010000031a000e00000401120a10020002000083005dc0}

系统关键信息隐藏

题目内容：管理员怀疑操作系统中存在后门对网络信息及进程进行了隐藏，请定位具体隐藏进程名称，如隐藏进程名称为MySQL,则flag提交格式为: flag{MySQL}

解题过程: pstree试试.

智造应用框架漏洞

题目内容：综管平台WEB应用存在框架漏洞，结合攻击行为，保证业务正常运行情况下进行加固，并完成内存马的清理工作