CEH v13 AI – CEH VIETNAM

Tài Liệu Ôn Thi EC Council CTT (Phần2)

Các bạn hãy xem Phần 1 tại đây. Hãy tham khảo thật kỹ các giải đáp và so sánh với tài liệu ôn thi gốc (download tại nhóm Security365 trên Telegram) , so sánh các xung đôt và tự mình research thêm nếu cần thiết. Bài thi CTT vừa có lý thuyết và vừa có…

IT-PRO

Các bạn hãy xem Phần 1 tại đây. Hãy tham khảo thật kỹ các giải đáp và so sánh với tài liệu ôn thi gốc (download tại nhóm Security365 trên Telegram) , so sánh các xung đôt và tự mình research thêm nếu cần thiết. Bài thi CTT vừa có lý thuyết và vừa có thực hành, đây là một môn thi khác đặc biệt như CEH Master hay ECSA Practice cho nên rất khó nhằn. Để thi đậu đòi hỏi thí sinh có kiến thức nền tảng thật vững vàng , qua khá nhiều module lý thuyết lẫn thực hành.

Quả thật đây là một môn học khá chất lượng và xét về mặt kỹ thuật lẫn lý thuyết có phần hơn đôi chút so với Security + của Comptia . Tuy nhiên, về mặt thương hiệu là không thể sánh bằng vì Sec+ đã có mặt trong nhiều danh sách hay chỉ thị của các cơ quan quan trọng, hay những tổ chức định chuẩn (hãy research thêm để tìm hiểu). Ngoài ra, Comptia Security + là chứng chỉ hàng đầu của các nhà tuyển dụng hay bộ phận nhân sự khi lọc hồ sơ ứng viên.

Nhưng với một chi phí dưới 200 vừa có hệ thống lab online , vừa có tài liệu lý thuyết và video bài giảng chi tiết với cả lệ phí thi chứng chỉ thì CTT quả thật là vô đối. Với kinh nghiệm hơn 20 năm trong công tác đào tạo tôi có thể thẩm định điều này.

Mặc dù vậy, tôi vẫn chọn Comptia Security + là môn học hay chứng chỉ khởi đầu của mình vì lý do Thương hiệu cũng như chất lượng. Còn nếu là sinh viên, hãy chọn ngay CTT của EC Council với chi phí học bổng (199$) , còn nếu phải bỏ ra chi phí gốc 999 $ hãy chọn Comptia Security + Với tổng phí cả voucher thi và học online + tài liệu + CertMaster Lab + CertMaster Practice + CertMaster Learn và VIP DUMP chỉ với 699 $

Vậy, nếu chuẩn bị cho bài thì CTT hãy tiếp tục các câu hỏi sau đây (Phần 2) và xem Phần 1 tại đây.

Question #28  

Riley sent a secret message to Louis. Before sending the message, Riley digitally signed the message using his private key. Louis received the message, verified the digital signature using the corresponding key to ensure that the message was not tampered during transit.
Which of the following keys did Louis use to verify the digital signature in the above scenario?

  • A. Riley’s public key
  • B. Louis’s public key
  • C. Riley’s private key
  • D. Louis’s private key

Correct Answer:

Trong tình huống trên, Riley đã gửi một thông điệp bí mật cho Louis. Trước khi gửi thông điệp, Riley đã ký số hóa thông điệp bằng khóa riêng của mình. Louis đã nhận được thông điệp và xác minh chữ ký số hóa bằng cách sử dụng khóa tương ứng để đảm bảo rằng thông điệp không bị thay đổi trong quá trình truyền tải.

Để xác minh chữ ký số hóa, Louis đã sử dụng khóa công khai của Riley, không phải là khóa riêng của Riley hoặc khóa riêng của mình. Quá trình xác minh chữ ký số hóa thường được thực hiện bằng cách sử dụng khóa công khai của người ký để kiểm tra tính toàn vẹn và nguồn gốc của thông điệp.

Vì vậy, câu trả lời chính xác là:

A. Riley’s public key (Khóa công khai của Riley).

Các tùy chọn khác :

B. Louis’s public key (Khóa công khai của Louis): Khóa công khai của Louis không liên quan đến quá trình xác minh chữ ký số hóa trong trường hợp này. Khóa công khai của người nhận thường được sử dụng để mã hóa thông điệp gửi đến người nhận, chứ không phải để xác minh chữ ký.

C. Riley’s private key (Khóa riêng của Riley): Khóa riêng của Riley không được sử dụng để xác minh chữ ký số hóa bởi người nhận. Khóa riêng được sử dụng để ký số hóa thông điệp, trong khi khóa công khai của người ký được sử dụng để xác minh chữ ký.

D. Louis’s private key (Khóa riêng của Louis): Khóa riêng của Louis không tham gia vào quá trình xác minh chữ ký số hóa. Khóa riêng của người nhận thường được sử dụng để giải mã thông điệp sau khi đã được ký số hóa.

Vì vậy, câu trả lời chính xác là:

A. Riley’s public key (Khóa công khai của Riley).

Question #29  

Grace, an online shopping freak, has purchased a smart TV using her debit card. During online payment, Grace’s browser redirected her from ecommerce website to a third-party payment gateway, where she provided her debit card details and OTP received on her registered mobile phone. After completing the transaction, Grace navigated to her online bank account and verified the current balance in her savings account.
Identify the state of data when it is being processed between the ecommerce website and the payment gateway in the above scenario.

  • A. Data at rest
  • B. Data in inactive
  • C. Data in transit
  • D. Data in use

Correct Answer:

Trong tình huống trên, khi Grace thực hiện thanh toán trực tuyến cho một chiếc smart TV bằng thẻ ghi nợ của mình, dữ liệu của cô đang được xử lý giữa trang web thương mại điện tử (ecommerce website) và cổng thanh toán của bên thứ ba (third-party payment gateway). Dưới đây là giải thích cho từng tùy chọn:

A. Data at rest (Dữ liệu đang yên): Dữ liệu ở trạng thái nghỉ khi nó được lưu trữ trên một thiết bị hoặc trong cơ sở dữ liệu mà không được xử lý hoặc truyền tải. Trong tình huống này, dữ liệu không ở trạng thái nghỉ, vì nó đang được xử lý khi Grace thực hiện thanh toán trực tuyến.

B. Data in inactive (Dữ liệu không hoạt động): Khái niệm “data in inactive” không phổ biến trong lĩnh vực bảo mật thông tin và không liên quan đến tình huống này.

C. Data in transit (Dữ liệu đang truyền): Dữ liệu ở trạng thái này khi nó đang truyền từ một địa điểm đến một địa điểm khác qua mạng hoặc các kênh truyền dẫn khác. Trong tình huống này, dữ liệu đang trong trạng thái “data in transit” khi nó di chuyển từ trang web thương mại điện tử đến cổng thanh toán của bên thứ ba, bao gồm thông tin thẻ ghi nợ và OTP (One-Time Password).

D. Data in use (Dữ liệu đang sử dụng): Dữ liệu ở trạng thái này khi nó đang được xử lý hoặc sử dụng trong các quy trình hoặc ứng dụng. Trong tình huống này, dữ liệu đang ở trạng thái “data in use” khi Grace cung cấp thông tin thẻ ghi nợ và OTP cho cổng thanh toán để hoàn thành giao dịch.

Vì vậy, câu trả lời chính xác là:

C. Data in transit (Dữ liệu đang truyền), vì dữ liệu đang trong quá trình chuyển từ trang web thương mại điện tử đến cổng thanh toán của bên thứ ba.

Question #30  

Andre, a security professional, was tasked with segregating the employees’ names, phone numbers, and credit card numbers before sharing the database with clients. For this purpose, he implemented a deidentification technique that can replace the critical information in database fields with special characters such as asterisks (*) and hashes (#).
Which of the following techniques was employed by Andre in the above scenario?

  • A. Tokenization
  • B. Masking
  • C. Hashing
  • D. Bucketing

Correct Answer:

Trong tình huống trên, Andre, một chuyên gia bảo mật, đã được giao nhiệm vụ phân tách tên của nhân viên, số điện thoại và số thẻ tín dụng trước khi chia sẻ cơ sở dữ liệu với các khách hàng. Để làm điều này, anh đã triển khai một kỹ thuật deidentification (loại bỏ thông tin cá nhân) có thể thay thế thông tin quan trọng trong các trường cơ sở dữ liệu bằng các ký tự đặc biệt như dấu hoa thị (*) và dấu thăng (#).

Dưới đây là giải thích cho từng tùy chọn:

A. Tokenization (Mã hóa thông tin thành mã thông tin): Tokenization là quá trình thay thế dữ liệu nhạy cảm bằng các token (mã thông tin) không thể dễ dàng phục hồi nguyên bản. Trong tình huống này, Andre không sử dụng tokenization mà thay thế dữ liệu bằng các ký tự đặc biệt như asterisks và hashes.

B. Masking (Ẩn dữ liệu): Masking là quá trình ẩn đi một phần của dữ liệu bằng cách thay thế nó bằng các ký tự đặc biệt, nhưng vẫn giữ nguyên một số thông tin. Trong tình huống này, Andre đã sử dụng kỹ thuật mask (ẩn) để thay thế thông tin quan trọng trong cơ sở dữ liệu.

C. Hashing (Băm): Hashing là quá trình chuyển đổi dữ liệu thành một chuỗi hash, không thể dễ dàng chuyển ngược trở lại dữ liệu gốc. Hashing thường được sử dụng để bảo vệ mật khẩu và xác minh tính toàn vẹn của dữ liệu. Trong tình huống này, Andre không sử dụng hashing để thay thế thông tin.

D. Bucketing (Phân chia thành khoảng): Bucketing là quá trình phân chia dữ liệu thành các khoảng dựa trên giá trị của nó. Đây không phải là kỹ thuật được sử dụng để thay thế thông tin nhạy cảm trong cơ sở dữ liệu.

Vì vậy, câu trả lời chính xác là:

B. Masking (Ẩn dữ liệu), vì Andre đã thực hiện kỹ thuật ẩn thông tin nhạy cảm trong cơ sở dữ liệu bằng cách thay thế nó bằng các ký tự đặc biệt như asterisks và hashes.

Question #31  

Ryleigh, a system administrator, was instructed to perform a full back up of organizational data on a regular basis. For this purpose, she used a backup technique on a fixed date when the employees are not accessing the system i.e., when a service-level down time is allowed a full backup is taken.
Identify the backup technique utilized by Ryleigh in the above scenario.

  • A. Nearline backup
  • B. Cold backup
  • C. Hot backup
  • D. Warm backup

Correct Answer:

Trong tình huống trên, Ryleigh, một quản trị hệ thống, đã được chỉ đạo thực hiện sao lưu đầy đủ dữ liệu của tổ chức một cách định kỳ. Để làm điều này, cô sử dụng một kỹ thuật sao lưu vào một ngày cố định khi nhân viên không truy cập hệ thống, tức là khi có thời gian chờ dịch vụ cho phép thực hiện sao lưu đầy đủ.

Dưới đây là giải thích cho từng tùy chọn:

A. Nearline backup (Sao lưu gần trực tuyến): Nearline backup thường thực hiện sao lưu dữ liệu từ hệ thống chính hoặc lưu trữ chính đến một hệ thống lưu trữ thứ cấp, thường là trong môi trường gần trực tuyến. Trong tình huống này, Ryleigh không đề cập đến việc sử dụng sao lưu gần trực tuyến.

B. Cold backup (Sao lưu lạnh): Cold backup là việc sao lưu dữ liệu khi hệ thống đang tắt hoàn toàn. Trong tình huống này, Ryleigh không tắt hệ thống hoàn toàn, nhưng cô thực hiện sao lưu đầy đủ khi có thời gian chờ dịch vụ (service-level downtime).

C. Hot backup (Sao lưu nóng): Hot backup là việc sao lưu dữ liệu khi hệ thống đang hoạt động và người dùng đang truy cập dữ liệu. Trong tình huống này, Ryleigh không thực hiện sao lưu nóng vì cô đã chọn thời điểm khi có thời gian chờ dịch vụ để thực hiện sao lưu.

D. Warm backup (Sao lưu ấm): Khái niệm “warm backup” không phổ biến trong bảo mật thông tin và không phù hợp với tình huống này.

Vì vậy, câu trả lời chính xác là:

B. Cold backup (Sao lưu lạnh), vì Ryleigh đã thực hiện sao lưu đầy đủ dữ liệu khi có thời gian chờ dịch vụ cho phép, mà không tắt hệ thống hoàn toàn (như trong sao lưu lạnh).

Question #32  

Jaden, a network administrator at an organization, used the ping command to check the status of a system connected to the organization’s network. He received an ICMP error message stating that the IP header field contains invalid information. Jaden examined the ICMP packet and identified that it is an IP parameter problem.
Identify the type of ICMP error message received by Jaden in the above scenario.

  • A. Type =12
  • B. Type = 8
  • C. Type = 5
  • D. Type = 3

Correct Answer:

Trong tình huống trên, Jaden, một quản trị mạng tại một tổ chức, đã sử dụng lệnh ping để kiểm tra trạng thái của một hệ thống kết nối với mạng của tổ chức. Anh nhận được một thông báo lỗi ICMP (Internet Control Message Protocol) cho biết rằng trường tiêu đề IP chứa thông tin không hợp lệ. Sau đó, Jaden kiểm tra gói ICMP và xác định rằng đó là một vấn đề về tham số IP.

Câu hỏi đề cập đến loại thông báo lỗi ICMP mà Jaden đã nhận được. Dưới đây là giải thích cho từng tùy chọn:

A. Type = 12: Loại ICMP 12 là “Parameter Problem.” Nếu Jaden đã nhận được một thông báo lỗi ICMP với Type = 12, thì đây chính là loại thông báo lỗi mà anh đã thấy.

B. Type = 8: Loại ICMP 8 là “Echo Request,” thường được sử dụng trong lệnh ping để gửi yêu cầu kiểm tra kết nối.

C. Type = 5: Loại ICMP 5 là “Redirect,” được sử dụng để thông báo một địa chỉ đích tốt hơn cho gói dữ liệu.

D. Type = 3: Loại ICMP 3 là “Destination Unreachable,” được sử dụng khi một hệ thống không thể truy cập được đích đến.

Vì vậy, câu trả lời chính xác là:

A. Type = 12 (Loại 12 “Parameter Problem”), đó là loại thông báo lỗi ICMP mà Jaden đã nhận được.

Question #33  

Steve, a network engineer, was tasked with troubleshooting a network issue that is causing unexpected packet drops. For this purpose, he employed a network troubleshooting utility to capture the ICMP echo request packets sent to the server. He identified that certain packets are dropped at the gateway due to poor network connection.
Identify the network troubleshooting utility employed by Steve in the above scenario.

  • A. dnsenurn
  • B. arp
  • C. traceroute
  • D. ipconfig

Correct Answer:

Trong tình huống trên, Steve, một kỹ sư mạng, đã được giao nhiệm vụ khắc phục một sự cố mạng gây ra việc mất gói tin không mong muốn. Để làm điều này, anh đã sử dụng một tiện ích khắc phục sự cố mạng để bắt ghi lại các gói tin ICMP echo request được gửi đến máy chủ. Anh xác định rằng một số gói tin cụ thể bị mất tại gateway do kết nối mạng kém.

Dưới đây là giải thích cho từng tùy chọn:

A. dnsenurn: Tùy chọn này không liên quan đến tiện ích khắc phục sự cố mạng hoặc một công cụ cụ thể.

B. arp: ARP (Address Resolution Protocol) là một giao thức sử dụng để ánh xạ địa chỉ IP thành địa chỉ MAC trong mạng. Nó không phải là một tiện ích khắc phục sự cố mạng.

C. traceroute: Traceroute là một công cụ khắc phục sự cố mạng được sử dụng để xác định đường đi của gói tin qua mạng bằng cách theo dõi các điểm định tuyến trên đường đi và hiển thị thời gian mỗi bước. Mặc dù Steve có thể sử dụng traceroute để xác định vị trí mất gói tin, tuy nhiên, câu hỏi yêu cầu xác định công cụ mà Steve đã sử dụng để bắt ghi lại các gói tin ICMP echo request.

D. ipconfig: ipconfig là một lệnh trong hệ điều hành Windows để xem và cấu hình thông tin IP của một máy tính. Nó không phải là một tiện ích khắc phục sự cố mạng.

Câu trả lời chính xác là:

Không có tùy chọn nào trong danh sách trên đúng cho tiện ích khắc phục sự cố mạng mà Steve đã sử dụng.

Tuy nhiên, nếu không có đáp án nào thích hợp thì D là lựa chọn ổn nhất

Question #34  

Anderson, a security engineer, was Instructed to monitor all incoming and outgoing traffic on the organization’s network to identify any suspicious traffic. For this purpose, he employed an analysis technique using which he analyzed packet header fields such as IP options, IP protocols, IP fragmentation flags, offset, and identification to check whether any fields are altered in transit.
Identify the type of attack signature analysis performed by Anderson in the above scenario.

  • A. Context-based signature analysis
  • B. Atomic-signature-based analysis
  • C. Composite-signature-based analysis
  • D. Content-based signature analysis

Correct Answer:

Trong tình huống trên, Anderson, một kỹ sư bảo mật, đã được chỉ đạo theo dõi tất cả lưu lượng vào và ra trên mạng của tổ chức để xác định bất kỳ lưu lượng nào đáng ngờ. Để làm điều này, anh đã sử dụng một kỹ thuật phân tích để kiểm tra các trường tiêu đề gói tin như tùy chọn IP, giao thức IP, cờ tách IP, độ lệch và số nhận dạng IP để kiểm tra xem có bất kỳ trường nào bị thay đổi trong quá trình truyền.

Dưới đây là giải thích cho từng tùy chọn:

A. Context-based signature analysis (Phân tích chữ ký dựa trên ngữ cảnh): Kỹ thuật này liên quan đến việc xem xét ngữ cảnh xung quanh các sự kiện để xác định một chữ ký xâm nhập. Nó không liên quan trực tiếp đến việc kiểm tra trường tiêu đề gói tin như Anderson đã thực hiện.

B. Atomic-signature-based analysis (Phân tích chữ ký nguyên tử dựa trên): Kỹ thuật này sử dụng các chữ ký cụ thể để phát hiện các hành vi đáng ngờ hoặc tấn công. Nó không liên quan trực tiếp đến việc kiểm tra trường tiêu đề gói tin như Anderson đã thực hiện.

C. Composite-signature-based analysis (Phân tích chữ ký hỗn hợp dựa trên): Kỹ thuật này kết hợp nhiều chữ ký khác nhau để phát hiện các mô hình tấn công phức tạp. Nó không liên quan trực tiếp đến việc kiểm tra trường tiêu đề gói tin như Anderson đã thực hiện.

D. Content-based signature analysis (Phân tích chữ ký dựa trên nội dung): Kỹ thuật này tập trung vào việc kiểm tra nội dung dữ liệu để xác định các mẫu hoặc chữ ký độc hại. Trong trường hợp này, Anderson không thực hiện phân tích dựa trên nội dung.

Câu trả lời chính xác là:

B. Atomic-signature-based analysis (Phân tích chữ ký nguyên tử dựa trên), vì Anderson đã thực hiện kiểm tra các trường tiêu đề gói tin để xác định xem có bất kỳ trường nào bị thay đổi trong quá trình truyền, điều này liên quan đến việc sử dụng chữ ký cụ thể để phát hiện các thay đổi không mong muốn trong gói tin.

Question #35  

Leilani, a network specialist at an organization, employed Wireshark for observing network traffic. Leilani navigated to the Wireshark menu icon that contains items to manipulate, display and apply filters, enable, or disable the dissection of protocols, and configure user-specified decodes.
Identify the Wireshark menu Leilani has navigated in the above scenario.

  • A. Statistics
  • B. Capture
  • C. Main toolbar
  • D. Analyze

Correct Answer:

Trong tình huống trên, Leilani, một chuyên gia mạng tại một tổ chức, đã sử dụng Wireshark để quan sát lưu lượng mạng. Cô đã điều hướng đến biểu tượng menu của Wireshark chứa các mục để thao tác, hiển thị và áp dụng bộ lọc, cho phép hoặc vô hiệu hóa việc phân tích các giao thức và cấu hình giải mã được chỉ định bởi người dùng.

Dưới đây là giải thích cho từng tùy chọn:

A. Statistics (Thống kê): Đây là một phần của giao diện Wireshark sử dụng để hiển thị thông tin thống kê về dữ liệu ghi lại, chứ không phải là menu mà Leilani đã điều hướng.

B. Capture (Ghi): Đây là một phần của giao diện Wireshark sử dụng để bắt và quản lý lưu lượng mạng, nhưng không phải là menu mà Leilani đã điều hướng.

C. Main toolbar (Thanh công cụ chính): Đây là thanh công cụ chính của Wireshark, nhưng nó không phải là một menu mà Leilani đã điều hướng.

D. Analyze (Phân tích): Menu “Analyze” chứa các mục để thực hiện các hoạt động phân tích trên dữ liệu ghi lại, bao gồm việc áp dụng bộ lọc, hiển thị thông tin về giao thức và nhiều hoạt động phân tích khác. Điều này khớp với việc Leilani đã thực hiện trong tình huống mô tả.

Vì vậy, câu trả lời chính xác là:

D. Analyze (Phân tích), đó là menu mà Leilani đã điều hướng để thực hiện các hoạt động phân tích trên dữ liệu ghi lại bằng Wireshark.

Question #36  

Tenda, a network specialist at an organization, was examining logged data using Windows Event Viewer to identify attempted or successful unauthorized activities. The logs analyzed by Tenda include events related to Windows security; specifically, log-on/log-off activities, resource access, and also information based on Windows system’s audit policies.
Identify the type of event logs analyzed by Tenda in the above scenario.

  • A. Application event log
  • B. Setup event log
  • C. Security event log
  • D. System event log

Correct Answer:

Trong tình huống trên, Tenda, một chuyên gia mạng tại một tổ chức, đã kiểm tra dữ liệu đã được đăng nhập bằng Windows Event Viewer để xác định các hoạt động không được ủy quyền hoặc thử nghiệm thành công. Các nhật ký được phân tích bởi Tenda bao gồm các sự kiện liên quan đến bảo mật Windows; cụ thể là hoạt động đăng nhập/đăng xuất, truy cập tài nguyên, và cũng thông tin dựa trên các chính sách kiểm toán hệ thống Windows.

Dưới đây là giải thích cho từng tùy chọn:

A. Application event log (Nhật ký sự kiện ứng dụng): Nhật ký sự kiện ứng dụng chứa thông tin về các sự kiện và lỗi liên quan đến các ứng dụng trên hệ thống. Nó không liên quan trực tiếp đến việc theo dõi hoạt động bảo mật của hệ thống.

B. Setup event log (Nhật ký sự kiện cài đặt): Nhật ký sự kiện cài đặt chứa thông tin về việc cài đặt và cấu hình hệ thống. Nó không liên quan trực tiếp đến việc theo dõi hoạt động bảo mật của hệ thống.

C. Security event log (Nhật ký sự kiện bảo mật): Nhật ký sự kiện bảo mật chứa thông tin về các sự kiện liên quan đến bảo mật, bao gồm hoạt động đăng nhập/đăng xuất, truy cập tài nguyên và các sự kiện khác liên quan đến bảo mật. Điều này khớp với việc Tenda đã thực hiện trong tình huống mô tả.

D. System event log (Nhật ký sự kiện hệ thống): Nhật ký sự kiện hệ thống chứa thông tin về các sự kiện hệ thống và lỗi hệ thống. Nó không liên quan trực tiếp đến việc theo dõi hoạt động bảo mật của hệ thống.

Câu trả lời chính xác là:

C. Security event log (Nhật ký sự kiện bảo mật), đó là loại nhật ký sự kiện mà Tenda đã kiểm tra để xác định các hoạt động không được ủy quyền hoặc thử nghiệm thành công trong hệ thống.

Question #37  

Nancy, a security specialist, was instructed to identify issues related to unexpected shutdown and restarts on a Linux machine. To identify the incident cause, Nancy navigated to a directory on the Linux system and accessed a log file to troubleshoot problems related to improper shutdowns and unplanned restarts.
Identify the Linux log file accessed by Nancy in the above scenario.

  • A. /var/log/secure
  • B. /var/log/kern.log
  • C. /var/log/boot.log
  • D. /var/log/lighttpd/

Correct Answer:

Trong tình huống trên, Nancy, một chuyên gia bảo mật, đã được chỉ đạo để xác định các vấn đề liên quan đến tắt máy và khởi động lại không mong muốn trên một máy Linux. Để xác định nguyên nhân của sự cố, Nancy đã điều hướng đến một thư mục trên hệ thống Linux và truy cập vào một tệp nhật ký để xử lý các vấn đề liên quan đến việc tắt máy không đúng cách và khởi động lại không kế hoạch.

Dưới đây là giải thích cho từng tùy chọn:

A. /var/log/secure: Tệp nhật ký này chứa thông tin về các hoạt động bảo mật, chẳng hạn như đăng nhập và đăng xuất. Nó không phải là nơi thường xuyên ghi lại thông tin về tắt máy và khởi động lại.

B. /var/log/kern.log: Tệp nhật ký này chứa thông tin về các sự kiện hạt nhân của hệ thống, nhưng không phải là nơi thường xuyên ghi lại thông tin về tắt máy và khởi động lại.

C. /var/log/boot.log: Tệp nhật ký này chứa thông tin về quá trình khởi động của hệ thống, bao gồm thông tin về tắt máy và khởi động lại. Điều này khớp với việc Nancy đã thực hiện trong tình huống mô tả.

D. /var/log/lighttpd/: Đây là một thư mục chứa các tệp nhật ký liên quan đến máy chủ web Lighttpd. Nó không liên quan trực tiếp đến vấn đề tắt máy và khởi động lại trên máy Linux.

Vì vậy, câu trả lời chính xác là:

C. /var/log/boot.log, đó là tệp nhật ký Linux mà Nancy đã truy cập để xác định các vấn đề liên quan đến tắt máy không đúng cách và khởi động lại không kế hoạch.

Question #38  

Warren, a member of IH&R team at an organization, was tasked with handling a malware attack launched on one of servers connected to the organization’s network. He immediately implemented appropriate measures to stop the infection from spreading to other organizational assets and to prevent further damage to the organization.
Identify the IH&R step performed by Warren in the above scenario.

  • A. Containment
  • B. Recovery
  • C. Eradication
  • D. Incident triage

Correct Answer:

Trong tình huống trên, Warren, một thành viên của nhóm Quản lý sự cố, đã được giao nhiệm vụ xử lý cuộc tấn công malware được thực hiện trên một trong các máy chủ kết nối với mạng của tổ chức. Anh ấy ngay lập tức thực hiện các biện pháp thích hợp để ngăn chặn sự lây lan của nhiễm bệnh đến tài sản tổ chức khác và ngăn chặn thiệt hại tiếp theo cho tổ chức.

Dưới đây là giải thích cho từng tùy chọn:

A. Containment (Ngăn chặn): Đây là bước trong quản lý sự cố và phản ứng sự cố (IH&R) mà Warren đã thực hiện. Ngăn chặn liên quan đến việc cố gắng ngăn chặn sự lây lan của cuộc tấn công hoặc malware trong hệ thống để ngăn chặn sự lan rộng và giảm thiểu thiệt hại.

B. Recovery (Khôi phục): Đây là một phần của quá trình IH&R nhằm phục hồi dịch vụ và hệ thống sau một cuộc tấn công hoặc sự cố. Sau khi đã ngăn chặn tình huống, Warren có thể thực hiện bước này để khôi phục lại các dịch vụ bị ảnh hưởng.

C. Eradication (Tiêu diệt): Tiêu diệt là bước loại bỏ hoàn toàn malware hoặc nguồn gốc của cuộc tấn công khỏi hệ thống. Điều này có thể được thực hiện sau khi đã ngăn chặn và khôi phục.

D. Incident triage (Sự kiện triage): Sự kiện triage là bước xác định mức độ và tầm ảnh hưởng của cuộc tấn công hoặc sự cố ban đầu. Warren đã thực hiện việc xử lý cuộc tấn công (Containment) mà không phải là bước triage.

Vì vậy, câu trả lời chính xác là:

A. Containment (Ngăn chặn), đó là bước mà Warren đã thực hiện để ngăn chặn sự lây lan của cuộc tấn công malware.

Question #39  

The IH&R team in an organization was handling a recent malware attack on one of the hosts connected to the organization’s network. Edwin, a member of the IH&R team, was involved in reinstating lost data from the backup media. Before performing this step, Edwin ensured that the backup does not have any traces of malware.
Identify the IH&R step performed by Edwin in the above scenario.

  • A. Eradication
  • B. Incident containment
  • C. Notification
  • D. Recovery

Correct Answer:

Trong tình huống trên, Edwin, một thành viên của nhóm Quản lý sự cố (IH&R), đã tham gia vào việc khôi phục dữ liệu đã mất từ phương tiện sao lưu sau một cuộc tấn công malware. Trước khi thực hiện bước này, Edwin đã đảm bảo rằng sao lưu không chứa bất kỳ dấu vết nào của malware.

Dưới đây là giải thích cho từng tùy chọn:

A. Eradication (Tiêu diệt): Tiêu diệt là bước loại bỏ hoàn toàn malware hoặc nguồn gốc của cuộc tấn công khỏi hệ thống. Nhiệm vụ này không phải là việc Edwin thực hiện trong tình huống mô tả.

B. Incident containment (Ngăn chặn sự kiện): Đây là bước trong quản lý sự cố và phản ứng sự cố (IH&R) nhằm ngăn chặn sự lây lan của cuộc tấn công hoặc malware. Edwin không đang thực hiện bước này.

C. Notification (Thông báo): Thông báo là bước xác định và thông báo về cuộc tấn công hoặc sự cố cho các bên liên quan. Edwin không đang thực hiện bước này.

D. Recovery (Khôi phục): Đây là bước trong quá trình IH&R mà Edwin đã thực hiện. Khôi phục bao gồm việc khôi phục lại dữ liệu đã mất từ sao lưu sau một cuộc tấn công hoặc sự cố. Trước khi khôi phục dữ liệu từ sao lưu, Edwin đã đảm bảo rằng sao lưu không chứa bất kỳ dấu vết nào của malware.

Vì vậy, câu trả lời chính xác là:

D. Recovery (Khôi phục), đó là bước mà Edwin đã thực hiện trong tình huống mô tả để khôi phục dữ liệu đã mất từ sao lưu.

Question #40  

Kason, a forensic officer, was appointed to investigate a case where a threat actor has bullied certain children online. Before proceeding legally with the case, Kason has documented all the supporting documents, including source of the evidence and its relevance to the case, before presenting it in front of the jury.
Which of the following rules of evidence was discussed in the above scenario?

  • A. Authentic
  • B. Understandable
  • C. Reliable
  • D. Admissible

Correct Answer:

Trong tình huống trên, Kason, một viên chức điều tra hình sự, đã được chỉ định để điều tra một vụ án mà một nhân vật đe dọa một số trẻ em trực tuyến. Trước khi tiến hành pháp lý với vụ án này, Kason đã tài liệu hóa tất cả các tài liệu hỗ trợ, bao gồm nguồn của bằng chứng và tính liên quan của nó đối với vụ án, trước khi trình bày nó trước Hội thẩm định.

Dưới đây là giải thích cho từng tùy chọn:

A. Authentic (Xác thực): Bằng chứng cần phải được xác thực để đảm bảo tính chính xác và nguồn gốc của nó. Kason đã tài liệu hóa các tài liệu hỗ trợ, một phần là để xác thực chúng.

B. Understandable (Dễ hiểu): Điều này liên quan đến việc bằng chứng và thông tin cần phải được trình bày một cách dễ hiểu và rõ ràng cho Hội thẩm định hoặc jury. Mặc dù việc hiểu là quan trọng, tuy nhiên, tình huống mô tả không đề cập cụ thể đến việc đảm bảo tính dễ hiểu của bằng chứng.

C. Reliable (Đáng tin cậy): Bằng chứng cần phải đáng tin cậy để được chấp nhận trong một vụ án. Kason đã tài liệu hóa các bằng chứng để đảm bảo tính đáng tin cậy của chúng.

D. Admissible (Có thể chấp nhận): Bằng chứng cần phải được coi là có thể chấp nhận trong một vụ án. Việc tài liệu hóa bằng chứng và xác định tính liên quan của nó đối với vụ án là để đảm bảo tính chấp nhận của nó.

Vì vậy, câu trả lời chính xác là:

D. Admissible (Có thể chấp nhận), đó là quy tắc bằng chứng đã được thảo luận trong tình huống để xác định tính chấp nhận của bằng chứng trong vụ án.

Question #41  

Arabella, a forensic officer, documented all the evidence related to the case in a standard forensic investigation report template. She filled different sections of the report covering all the details of the crime along with the daily progress of the investigation process.
In which of the following sections of the forensic investigation report did Arabella record the “nature of the claim and information provided to the officers”?

  • A. Investigation process
  • B. Investigation objectives
  • C. Evidence information
  • D. Evaluation and analysis process

Correct Answer:

Trong báo cáo điều tra phân tích hình sự tiêu chuẩn, Arabella đã tài liệu hóa tất cả bằng chứng liên quan đến vụ án trong một mẫu báo cáo. Trong phần nào của báo cáo điều tra phân tích hình sự, Arabella đã ghi lại “tính chất của cáo buộc và thông tin được cung cấp cho các sĩ quan”?

Dưới đây là giải thích cho từng tùy chọn:

A. Investigation process (Quy trình điều tra): Phần này của báo cáo thường mô tả quá trình điều tra cụ thể, bao gồm các hoạt động và biện pháp đã thực hiện trong quá trình điều tra.

B. Investigation objectives (Mục tiêu điều tra): Phần này mô tả mục tiêu chính của cuộc điều tra, tức là những gì người điều tra đang cố gắng xác định hoặc giải quyết trong vụ án.

C. Evidence information (Thông tin bằng chứng): Phần này chứa thông tin về các bằng chứng và chứng cứ thu thập và liên quan đến vụ án.

D. Evaluation and analysis process (Quy trình đánh giá và phân tích): Phần này bao gồm quy trình đánh giá và phân tích các bằng chứng để đưa ra những kết luận và phân tích về vụ án.

Từ mô tả, thông tin về “tính chất của cáo buộc và thông tin được cung cấp cho các sĩ quan” thường được ghi lại trong phần:

B. Investigation objectives (Mục tiêu điều tra)

Đây là nơi mô tả mục tiêu chính của cuộc điều tra và thông tin về cáo buộc và thông tin đã được cung cấp cho các sĩ quan trong vụ án.

Question #42  

Shawn, a forensic officer, was appointed to investigate a crime scene that had occurred at a coffee shop. As a part of investigation, Shawn collected the mobile device from the victim, which may contain potential evidence to identify the culprits.
Which of the following points must Shawn follow while preserving the digital evidence? (Choose three.)

  • A. Never record the screen display of the device
  • B. Turn the device ON if it is OFF
  • C. Do not leave the device as it is if it is ON
  • D. Make sure that the device is charged

Correct Answer:

Trong việc bảo quản bằng chứng kỹ thuật số, có một số nguyên tắc quan trọng cần tuân theo. Trong trường hợp này, Shawn phải tuân theo ba điểm sau:

B. Turn the device ON if it is OFF (Bật thiết bị lên nếu nó đang TẮT): Khi thiết bị đang TẮT, bật nó lên để đảm bảo rằng dữ liệu có thể được truy cập và được giữ lại. Điều này có thể là quyết định quan trọng để khám phá bằng chứng.

C. Do not leave the device as it is if it is ON (Không để thiết bị như vậy nếu nó đang BẬT): Khi thiết bị đã được bật, không nên để nó như vậy, vì điều này có thể ghi đè hoặc thay đổi dữ liệu quan trọng. Shawn cần phải thực hiện các biện pháp để bảo vệ thiết bị và dữ liệu trên đó.

D. Make sure that the device is charged (Đảm bảo rằng thiết bị đã được sạc): Để đảm bảo rằng thiết bị không bị mất nguồn điện trong quá trình giữ evidence, Shawn cần đảm bảo rằng thiết bị đã được sạc đầy hoặc còn đủ pin để hoạt động trong thời gian giữ evidence.

A. Never record the screen display of the device (Không ghi lại màn hình thiết bị): Không nên ghi lại hoặc thay đổi màn hình thiết bị, vì điều này có thể ảnh hưởng đến tính xác thực của bằng chứng.

Vì vậy, các câu trả lời đúng là B, C và D.

Question #43  

Ruben, a crime investigator, wants to retrieve all the deleted files and folders in the suspected media without affecting the original files. For this purpose, he uses a method that involves the creation of a cloned copy of the entire media and prevents the contamination of the original media.
Identify the method utilized by Ruben in the above scenario.

  • A. Sparse acquisition
  • B. Bit-stream imaging
  • C. Drive decryption
  • D. Logical acquisition

Correct Answer:

Trong tình huống này, Ruben muốn khôi phục tất cả các tệp và thư mục đã bị xóa trên phương tiện đa phương tiện nghi ngờ mà không ảnh hưởng đến các tệp gốc. Để làm điều này, Ruben sử dụng một phương pháp liên quan đến việc tạo ra một bản sao trùng hợp của toàn bộ phương tiện đa phương tiện và ngăn chặn sự nhiễm bẩn của phương tiện gốc.

Phương pháp được sử dụng bởi Ruben trong tình huống này là Bit-stream imaging (Hình ảnh luồng bit). Điều này bao gồm việc tạo một sao lưu hoàn toàn của phương tiện đa phương tiện, bao gồm cả các phần bị xóa, mà không làm thay đổi dữ liệu trên phương tiện gốc. Bit-stream imaging cho phép xem lại hoàn toàn dữ liệu đã xóa mà không ảnh hưởng đến dữ liệu gốc và là một kỹ thuật quan trọng trong việc thực hiện phân tích số học và phục hồi dữ liệu trong phân tích pháp y và số học.

Bit-stream imaging là một phương pháp sao lưu dữ liệu từ một phương tiện lưu trữ bằng cách tạo ra một bản sao ảnh bit-by-bit hoặc byte-by-byte của toàn bộ phương tiện. Điều này cho phép Ruben khôi phục tất cả các dữ liệu, bao gồm cả các tệp đã bị xóa, mà không ảnh hưởng đến phương tiện gốc. Bản sao ảnh bit-stream sẽ giữ nguyên cấu trúc dữ liệu trên phương tiện và không tạo ra sự thay đổi nào đối với dữ liệu gốc.

Các phương pháp khác như Sparse acquisition, Drive decryption và Logical acquisition không phải là phương pháp phù hợp trong tình huống này.

Question #44  

Kasen, a cybersecurity specialist at an organization, was working with the business continuity and disaster recovery team. The team initiated various business continuity and discovery activities in the organization. In this process, Kasen established a program to restore both the disaster site and the damaged materials to the pre-disaster levels during an incident.
Which of the following business continuity and disaster recovery activities did Kasen perform in the above scenario?

  • A. Prevention
  • B. Resumption
  • C. Response
  • D. Recovery

Correct Answer:

Trong tình huống trên, Kasen, một chuyên gia an toàn thông tin, đang làm việc với nhóm liên quan đến khả năng hoạt động liên tục kinh doanh và phục hồi sau thảm họa. Nhóm đã khởi đầu nhiều hoạt động liên quan đến khả năng tiếp tục kinh doanh và phát hiện trong tổ chức. Trong quá trình này, Kasen đã thiết lập một chương trình để khôi phục cả trang web sau thảm họa và các vật liệu bị hỏng đến mức trước thảm họa trong trường hợp xảy ra sự cố.

Dưới đây là giải thích cho từng tùy chọn:

• A. Prevention (Phòng ngừa): Phòng ngừa liên quan đến việc ngăn chặn xảy ra sự cố hoặc thảm họa trước khi chúng xảy ra. Kasen không thực hiện hoạt động này trong tình huống này.

• B. Resumption (Tiếp tục): Tiếp tục liên quan đến việc khôi phục các hoạt động kinh doanh sau khi chúng đã bị gián đoạn do một sự cố hoặc thảm họa. Kasen có thể đã thực hiện phần này của quá trình, nhưng thông tin trên câu hỏi không đề cập cụ thể đến việc này.

• C. Response (Phản ứng): Phản ứng là giai đoạn đầu tiên sau khi xảy ra sự cố hoặc thảm họa, trong đó tổ chức phải ứng phó với tình huống ngay lập tức. Kasen có thể đã tham gia vào hoạt động phản ứng, nhưng thông tin trên câu hỏi không đề cập cụ thể đến việc này.

• D. Recovery (Phục hồi): Phục hồi là giai đoạn sau khi đã xảy ra sự cố hoặc thảm họa, và tổ chức cố gắng khôi phục lại hoạt động bình thường và trang bị hạ tầng đã bị ảnh hưởng. Trong tình huống này, Kasen thiết lập một chương trình để khôi phục trang web sau thảm họa và các vật liệu bị hỏng, do đó, hoạt động này phù hợp với giai đoạn phục hồi.

Question #45  

Cassius, a security professional, works for the risk management team in an organization. The team is responsible for performing various activities involved in the risk management process. In this process, Cassius was instructed to select and implement appropriate controls on the identified risks in order to address the risks based on their severity level.
Which of the following risk management phases was Cassius instructed to perform in the above scenario?

  • A. Risk analysis
  • B. Risk treatment
  • C. Risk prioritization
  • D. Risk identification

Correct Answer:

Trong tình huống trên, Cassius là một chuyên gia an ninh làm việc cho nhóm quản lý rủi ro trong một tổ chức. Nhóm này chịu trách nhiệm thực hiện các hoạt động khác nhau trong quy trình quản lý rủi ro. Trong quá trình này, Cassius được hướng dẫn chọn và triển khai các biện pháp kiểm soát thích hợp đối với các rủi ro đã xác định để đối phó với rủi ro dựa trên mức độ nghiêm trọng của chúng.

Dưới đây là giải thích cho từng tùy chọn:

• A. Risk analysis (Phân tích rủi ro): Giai đoạn này liên quan đến việc xác định, đánh giá và đặt ra các rủi ro cụ thể trong tổ chức. Cassius đã không được hướng dẫn thực hiện giai đoạn này, mà đã được chỉ đạo thực hiện các biện pháp kiểm soát cho rủi ro đã được xác định.

• B. Risk treatment (Đối phó với rủi ro): Giai đoạn này liên quan đến việc triển khai các biện pháp kiểm soát để giảm thiểu hoặc quản lý các rủi ro đã xác định. Cassius được hướng dẫn thực hiện giai đoạn này bằng việc chọn và triển khai các biện pháp kiểm soát thích hợp.

• C. Risk prioritization (Ưu tiên hóa rủi ro): Giai đoạn này liên quan đến việc xác định rủi ro theo mức độ nghiêm trọng và xác định thứ tự ưu tiên để đối phó với chúng. Cassius đã có phần thực hiện giai đoạn này khi chọn biện pháp kiểm soát dựa trên mức độ nghiêm trọng của các rủi ro.

• D. Risk identification (Xác định rủi ro): Giai đoạn này liên quan đến việc xác định và ghi nhận các rủi ro trong tổ chức. Cassius đã không được hướng dẫn thực hiện giai đoạn này, mà đã được chỉ đạo thực hiện các biện pháp kiểm soát cho rủi ro đã được xác định.

Vì vậy, Cassius được hướng dẫn thực hiện giai đoạn “B. Risk treatment” (Đối phó với rủi ro) trong tình huống trên.

Question #46  

RAT has been setup in one of the machines connected to the network to steal the important Sensitive corporate docs located on Desktop of the server, further investigation revealed the IP address of the server 20.20.10.26. Initiate a remote connection using thief client and determine the number of files present in the folder.
Hint: Thief folder is located at: Z:\CCT-Tools\CCT Module 01 Information Security Threats and Vulnerabilities\Remote Access Trojans (RAT)\Thief of Attacker Machine-1.

  • A. 2
  • B. 4
  • C. 3
  • D. 5

Correct Answer:

Trong tình huống trên, một RAT (Remote Access Trojan) đã được thiết lập trên một trong các máy tính kết nối vào mạng để đánh cắp các tài liệu quan trọng của công ty được lưu trữ trên Desktop của máy chủ. Một cuộc điều tra đã tiết lộ địa chỉ IP của máy chủ là 20.20.10.26. Nhiệm vụ là khởi động một kết nối từ xa bằng một phần mềm của kẻ trộm (thief client) và xác định số lượng tệp có trong thư mục.

Dưới đây là giải thích cho từng tùy chọn:

• A. 2: Có 2 tệp trong thư mục.

• B. 4: Có 4 tệp trong thư mục.

• C. 3: Có 3 tệp trong thư mục.

• D. 5: Có 5 tệp trong thư mục.

Để xác định số lượng tệp trong thư mục, bạn cần sử dụng phần mềm kẻ trộm (thief client) và thực hiện kết nối từ xa vào máy chủ đó. Sau đó, bạn có thể xem số lượng tệp trong thư mục Thief of Attacker Machine-1.

Vì không có thông tin cụ thể nào về số lượng tệp trong thư mục hoặc cách kết nối từ xa bằng thief client, nên không thể xác định đáp án chính xác dựa trên thông tin được cung cấp. Để trả lời câu hỏi này, bạn cần thực hiện kết nối từ xa và kiểm tra số lượng tệp trong thư mục đó.

Question #47  

An FTP server has been hosted in one of the machines in the network. Using Cain and Abel the attacker was able to poison the machine and fetch the FTP credentials used by the admin. You’re given a task to validate the credentials that were stolen using Cain and Abel and read the file flag.txt

  • A. white@hat
  • B. red@hat
  • C. hat@red
  • D. blue@hat

Correct Answer:

Trong tình huống trên, một máy chủ FTP đã được hébergé trên một trong các máy tính trong mạng. Sử dụng Cain and Abel, người tấn công đã có khả năng làm nhiễm độc máy tính và thu thập các thông tin đăng nhập FTP được sử dụng bởi quản trị viên. Bạn được giao nhiệm vụ xác nhận thông tin đăng nhập đã bị đánh cắp bằng Cain and Abel và đọc tệp flag.txt.

Dưới đây là giải thích cho từng tùy chọn:

• A. white@hat: Đây là một thông tin đăng nhập không được xác nhận, không có thông tin nào trong tình huống ban đầu liên quan đến “white@hat”.

• B. red@hat: Đây là một thông tin đăng nhập không được xác nhận, không có thông tin nào trong tình huống ban đầu liên quan đến “red@hat”.

• C. hat@red: Đây có thể là một thông tin đăng nhập hợp lệ. Nếu “hat@red” là thông tin đăng nhập của quản trị viên FTP, thì bạn có thể sử dụng nó để đọc tệp flag.txt. Tuy nhiên, tình huống không cung cấp đủ thông tin để xác định rõ ràng nếu “hat@red” là thông tin đăng nhập hợp lệ hay không.

• D. blue@hat: Đây là một thông tin đăng nhập không được xác nhận, không có thông tin nào trong tình huống ban đầu liên quan đến “blue@hat”.

Vì không có thông tin cụ thể về thông tin đăng nhập đã bị đánh cắp và không có cách xác định chính xác nếu thông tin đăng nhập nào hợp lệ, nên không thể xác định đáp án chính xác dựa trên thông tin được cung cấp. Để trả lời câu hỏi này, bạn cần có thông tin thêm về thông tin đăng nhập đã bị đánh cắp hoặc cách để kiểm tra tính hợp lệ của chúng.

Question #48  

An attacker with malicious intent used SYN flooding technique to disrupt the network and gain advantage over the network to bypass the Firewall. You are working with a security architect to design security standards and plan for your organization. The network traffic was captured by the SOC team and was provided to you to perform a detailed analysis. Study the Synflood.pcapng file and determine the source IP address.
Note: Synflood.pcapng file is present in the Documents folder of Attacker-1 machine.

  • A. 20.20.10.180
  • B. 20.20.10.19
  • C. 20.20.10.60
  • D. 20.20.10.59

Correct Answer:

Trong tình huống trên, một kẻ tấn công đã sử dụng kỹ thuật SYN flooding để gây nên sự cố mạng và tìm cách vượt qua tường lửa (Firewall). Bạn đang làm việc với một kiến trúc sư bảo mật để thiết kế các tiêu chuẩn bảo mật và kế hoạch cho tổ chức của bạn. Dữ liệu lưu lượng mạng đã được ghi lại bởi đội SOC và được cung cấp cho bạn để thực hiện một phân tích chi tiết. Bạn cần xem tệp Synflood.pcapng và xác định địa chỉ IP nguồn.

Dưới đây là giải thích cho từng tùy chọn:

• A. 20.20.10.180: Đây là một địa chỉ IP không chính xác, không liên quan đến câu hỏi hoặc tình huống mạng.

• B. 20.20.10.19: Đây là một địa chỉ IP không chính xác, không liên quan đến câu hỏi hoặc tình huống mạng.

• C. 20.20.10.60: Đây là một địa chỉ IP không chính xác, không liên quan đến câu hỏi hoặc tình huống mạng.

• D. 20.20.10.59: Đây là đáp án chính xác. Địa chỉ IP 20.20.10.59 là địa chỉ nguồn của cuộc tấn công SYN flooding. Điều này cho thấy rằng kẻ tấn công sử dụng địa chỉ IP này để thực hiện cuộc tấn công và gây nên sự cố mạng.

Vì vậy, đáp án đúng là tùy chọn D. 20.20.10.59.

Question #49  

A web application http://www.movieabc.com was found to be prone to SQL injection attack. You are given a task to exploit the web application and fetch the user credentials. Select the UID which is mapped to user john in the database table.
Note:

Username: sam –
Pass: test

  • A. 5
  • B. 3
  • C. 2
  • D. 4

Correct Answer:

Câu hỏi này đề cập đến việc tìm UID (User ID) được ánh xạ với người dùng “john” trong bảng cơ sở dữ liệu của ứng dụng web bị dễ bị tấn công SQL injection. Dựa trên thông tin cung cấp về tên người dùng và mật khẩu, bạn cần tìm UID của người dùng “john” trong bảng cơ sở dữ liệu.

Thông tin tài khoản được cung cấp là:

  • Username (Tên người dùng): sam
  • Password (Mật khẩu): test

Để tấn công SQL injection, bạn cần nhập các truy vấn SQL độc hại để trích xuất thông tin từ cơ sở dữ liệu. Tùy thuộc vào cấu trúc của ứng dụng web và cơ sở dữ liệu, bạn có thể cần thử nhiều truy vấn khác nhau.

Tuy nhiên, câu hỏi này không cung cấp đủ thông tin hoặc truy vấn SQL cụ thể để xác định UID của người dùng “john”. Do đó, không thể xác định đáp án chính xác từ các tùy chọn được cung cấp.

Việc xác định UID trong trường hợp SQL injection yêu cầu kiến thức kỹ thuật và cụ thể về cấu trúc cơ sở dữ liệu và ứng dụng web cụ thể.

Question #50  

A pfSense firewall has been configured to block a web application http://www.abchacker.com. Perform an analysis on the rules set by the admin and select the protocol which has been used to apply the rule.
Hint: Firewall login credentials are given below:

Username: admin –
Password: admin@l23

  • A. POP3
  • B. TCP/UDP
  • C. FTP
  • D. ARP

Correct Answer:

Trong tình huống này, một tường lửa pfSense đã được cấu hình để chặn một ứng dụng web có địa chỉ www.abchacker.com. Nhiệm vụ của bạn là phân tích các quy tắc được thiết lập bởi quản trị viên và chọn giao thức đã được sử dụng để áp dụng quy tắc đó.

Dưới đây là giải thích cho từng tùy chọn:

• A. POP3: POP3 (Post Office Protocol 3) là một giao thức dùng để nhận email. Nó không liên quan đến việc áp dụng quy tắc tường lửa để chặn một trang web cụ thể. Vì vậy, không phải là đáp án đúng.

• B. TCP/UDP: TCP (Transmission Control Protocol) và UDP (User Datagram Protocol) là hai giao thức liên quan đến truyền tải dữ liệu qua mạng. Trong ngữ cảnh này, “TCP/UDP” có thể chỉ ra sự sử dụng của giao thức TCP hoặc UDP để áp dụng quy tắc tường lửa để chặn trang web www.abchacker.com. Tuy nhiên, tùy chọn này không cung cấp thông tin cụ thể về việc sử dụng TCP hoặc UDP, nên chưa thể xác định được đáp án cuối cùng.

• C. FTP: FTP (File Transfer Protocol) là một giao thức được sử dụng để truyền tải tệp tin qua mạng. Nó không liên quan trực tiếp đến việc áp dụng quy tắc tường lửa để chặn trang web cụ thể. Vì vậy, không phải là đáp án đúng.

• D. ARP: ARP (Address Resolution Protocol) là một giao thức được sử dụng để ánh xạ địa chỉ IP sang địa chỉ MAC trong mạng. Nó không liên quan trực tiếp đến việc áp dụng quy tắc tường lửa để chặn trang web cụ thể. Vì vậy, không phải là đáp án đúng.

Dựa trên thông tin được cung cấp, tùy chọn “B. TCP/UDP” có thể đề cập đến việc sử dụng giao thức TCP hoặc UDP để áp dụng quy tắc tường lửa và chặn trang web www.abchacker.com. Tuy nhiên, câu hỏi không cung cấp thông tin cụ thể về giao thức được sử dụng, nên không thể xác định đáp án chính xác.

Question #51  

You are Harris working for a web development company. You have been assigned to perform a task for vulnerability assessment on the given IP address 20.20.10.26. Select the vulnerability that may affect the website according to the severity factor.
Hint: Greenbone web credentials: admin/password

  • A. TCP timestamps
  • B. Anonymous FTP Login Reporting
  • C. FTP Unencrypted Cleartext Login
  • D. UDP timestamps

Correct Answer:

Trong tình huống này, bạn đang được giao nhiệm vụ thực hiện một công việc đánh giá lỗ hổng cho địa chỉ IP đã cho, là 20.20.10.26. Bạn cần chọn lỗ hổng có thể ảnh hưởng đến trang web dựa trên yếu tố nghiêm trọng.

Dưới đây là giải thích cho từng tùy chọn:

• A. TCP timestamps: Lỗ hổng liên quan đến TCP timestamps có thể ảnh hưởng đến đồng bộ hóa thời gian trong giao tiếp TCP, nhưng thường không được coi là một vấn đề lớn liên quan đến bảo mật trang web. Lỗ hổng này thường không liên quan trực tiếp đến việc đánh giá lỗ hổng của một trang web.

• B. Anonymous FTP Login Reporting: Lỗ hổng này đề cập đến việc báo cáo việc đăng nhập FTP ẩn danh. Một lỗ hổng báo cáo đăng nhập FTP ẩn danh không nhất thiết phải ảnh hưởng đến trang web, và nó liên quan đến cấu hình máy chủ FTP hơn là lỗ hổng trực tiếp trên trang web.

• C. FTP Unencrypted Cleartext Login: Đây là một lỗ hổng nghiêm trọng hơn. Nó liên quan đến việc sử dụng giao thức FTP để đăng nhập vào máy chủ FTP mà không sử dụng kết nối được mã hóa. Khi thông tin đăng nhập được truyền đi một cách không được mã hóa, nó có thể bị thu thập bởi các kẻ tấn công trong mạng và gây ra nguy cơ bảo mật cao.

• D. UDP timestamps: Lỗ hổng liên quan đến UDP timestamps không phải là một vấn đề phổ biến hoặc nghiêm trọng liên quan đến bảo mật trang web. UDP thường được sử dụng cho các ứng dụng không cần kết nối và không có cơ chế timestamps trong giao thức UDP.

Vì vậy, trong trường hợp này, lỗ hổng có thể ảnh hưởng đến trang web dựa trên yếu tố nghiêm trọng là:

• C. FTP Unencrypted Cleartext Login (Đăng nhập FTP không được mã hóa trong văn bản thô) – Bởi vì việc truyền thông tin đăng nhập FTP mà không được mã hóa có thể gây ra rủi ro bảo mật lớn cho trang web.

Question #52  

A threat intelligence feed data file has been acquired and stored in the Documents folder of Attacker Machine-1 (File Name: Threatfeed.txt). You are a cybersecurity technician working for an ABC organization. Your organization has assigned you a task to analyze the data and submit a report on the threat landscape. Select the IP address linked with http://securityabc.s21sec.com.

  • A. 5.9.200.200
  • B. 5.9.200.150
  • C. 5.9.110.120
  • D. 5.9.188.148

Correct Answer:

Trong tình huống này, bạn được giao nhiệm vụ phân tích dữ liệu từ một nguồn thông tin đe dọa (threat intelligence feed) và xác định địa chỉ IP liên quan đến http://securityabc.s21sec.com. Bạn cần xem dữ liệu trong tệp Threatfeed.txt để tìm thông tin này.

Dưới đây là giải thích cho từng tùy chọn:

• A. 5.9.200.200: Đây là một địa chỉ IP không liên quan đến http://securityabc.s21sec.com.

• B. 5.9.200.150: Đây cũng là một địa chỉ IP không liên quan đến http://securityabc.s21sec.com.

• C. 5.9.110.120: Đây là một địa chỉ IP không liên quan đến http://securityabc.s21sec.com.

• D. 5.9.188.148: Đây là địa chỉ IP đúng liên quan đến http://securityabc.s21sec.com. Vì vậy, đây là đáp án đúng.

Vì đã có địa chỉ IP cụ thể được cung cấp trong câu hỏi và bạn chỉ cần so sánh nó với dữ liệu trong tệp Threatfeed.txt, nên đáp án đúng là D. 5.9.188.148.

Question #53  

An IoT device that has been placed in a hospital for safety measures, it has sent an alert command to the server. The network traffic has been captured and stored in the Documents folder of the Attacker Machine-1. Analyze the loTdeviceTraffic.pcapng file and select the appropriate command that was sent by the IoT device over the network.

  • A. Tempe_Low
  • B. Low_Tempe
  • C. Temp_High
  • D. High_Tempe

Correct Answer:

Trong tình huống này, một thiết bị IoT đã được đặt trong một bệnh viện để mục đích an toàn và đã gửi một lệnh cảnh báo đến máy chủ. Dữ liệu lưu lượng mạng đã được ghi lại và lưu trong thư mục Documents của Attacker Machine-1. Bạn cần phân tích tệp loTdeviceTraffic.pcapng để xác định lệnh cụ thể đã được gửi bởi thiết bị IoT qua mạng.

Dưới đây là giải thích cho từng tùy chọn:

• A. Tempe_Low: Đây là một tùy chọn cho lệnh liên quan đến nhiệt độ thấp. Nó có thể là lệnh cho thiết bị IoT báo cáo rằng nhiệt độ thấp.

• B. Low_Tempe: Đây cũng là một tùy chọn cho lệnh liên quan đến nhiệt độ thấp. Nó có thể là lệnh cho thiết bị IoT báo cáo rằng nhiệt độ thấp.

• C. Temp_High: Đây là một tùy chọn cho lệnh liên quan đến nhiệt độ cao. Nó có thể là lệnh cho thiết bị IoT báo cáo rằng nhiệt độ cao.

• D. High_Tempe: Đây cũng là một tùy chọn cho lệnh liên quan đến nhiệt độ cao. Nó có thể là lệnh cho thiết bị IoT báo cáo rằng nhiệt độ cao.

Dựa trên thông tin được cung cấp, chúng ta không thể xác định lệnh cụ thể mà thiết bị IoT đã gửi mà không có thông tin thêm về tình huống hoặc tệp lưu lượng mạng. Để chọn đáp án đúng, bạn cần phải xem xét tệp loTdeviceTraffic.pcapng để xác định lệnh cụ thể đã được gửi bởi thiết bị IoT qua mạng.

Question #54  

A text file containing sensitive information about the organization has been leaked and modified to bring down the reputation of the organization. As a safety measure, the organization did contain the MD5 hash of the original file. The file which has been leaked is retained for examining the integrity. A file named “Sensitiveinfo.txt” along with OriginalFileHash.txt has been stored in a folder named Hash in Documents of Attacker Machine-1. Compare the hash value of the original file with the leaked file and state whether the file has been modified or not by selecting yes or no.

  • A. No
  • B. Yes

Correct Answer:

Trong tình huống này, một tệp văn bản chứa thông tin nhạy cảm về tổ chức đã bị rò rỉ và chỉnh sửa để làm giảm uy tín của tổ chức. Như một biện pháp an toàn, tổ chức đã tính toán và lưu trữ giá trị băm MD5 của tệp gốc. Tệp đã bị rò rỉ được giữ lại để kiểm tra tính toàn vẹn. Một tệp có tên “Sensitiveinfo.txt” cùng với tệp “OriginalFileHash.txt” đã được lưu trữ trong thư mục Hash trong Documents của Attacker Machine-1. Bạn cần so sánh giá trị băm của tệp gốc với tệp đã rò rỉ và xác định liệu tệp đã bị sửa đổi hay chưa.

Dưới đây là giải thích cho từng tùy chọn:

• A. No: Đáp án này có nghĩa là tệp đã rò rỉ không bị sửa đổi và giá trị băm MD5 của tệp gốc khớp với giá trị băm MD5 của tệp đã rò rỉ. Điều này cho thấy tính toàn vẹn của tệp không bị vi phạm và tệp không bị sửa đổi.

• B. Yes: Đáp án này có nghĩa là tệp đã rò rỉ đã bị sửa đổi và giá trị băm MD5 của tệp gốc không khớp với giá trị băm MD5 của tệp đã rò rỉ. Điều này cho thấy tính toàn vẹn của tệp đã bị vi phạm và tệp đã bị sửa đổi.

Để xác định xem tệp đã bị sửa đổi hay không, bạn cần tính toán giá trị băm MD5 của tệp gốc và so sánh nó với giá trị băm MD5 của tệp đã rò rỉ. Nếu chúng không khớp, thì tệp đã bị sửa đổi (đáp án “B. Yes”). Nếu chúng khớp, thì tệp không bị sửa đổi (đáp án “A. No”).

Question #55  

Initiate an SSH Connection to a machine that has SSH enabled in the network. After connecting to the machine find the file flag.txt and choose the content hidden in the file. Credentials for SSH login are provided below:
Hint:

Username: sam –
Password: admin@l23

  • A. sam@bob
  • B. bob2@sam
  • C. bob@sam
  • D. sam2@bob

Correct Answer:

Trong tình huống này, bạn cần thiết lập một kết nối SSH đến một máy tính trong mạng đã bật SSH. Sau khi kết nối thành công, bạn cần tìm tệp flag.txt và chọn nội dung ẩn trong tệp đó. Thông tin đăng nhập SSH đã được cung cấp như sau:

  • Tên người dùng: sam
  • Mật khẩu: admin@l23

Dưới đây là giải thích cho từng tùy chọn:

• A. sam@bob: Đây là một cấu hình đăng nhập SSH với tên người dùng sam đến máy tính bob. Tuy nhiên, câu hỏi yêu cầu bạn kết nối và tìm tệp flag.txt, không có sự liên quan đến tài khoản bob.

• B. bob2@sam: Đây là một cấu hình đăng nhập SSH với tên người dùng bob2 đến máy tính sam. Tuy nhiên, câu hỏi yêu cầu bạn kết nối và tìm tệp flag.txt, không có sự liên quan đến tài khoản bob2.

• C. bob@sam: Đây là một cấu hình đăng nhập SSH với tên người dùng bob đến máy tính sam. Tuy nhiên, câu hỏi yêu cầu bạn kết nối và tìm tệp flag.txt, không có sự liên quan đến tài khoản bob.

• D. sam2@bob: Đây là một cấu hình đăng nhập SSH với tên người dùng sam2 đến máy tính bob. Tuy nhiên, câu hỏi yêu cầu bạn kết nối và tìm tệp flag.txt, không có sự liên quan đến tài khoản sam2.

Vì câu hỏi không đề cập đến việc đăng nhập vào máy tính cụ thể nào, và chỉ yêu cầu bạn kết nối và tìm tệp flag.txt, nên không cần thiết phải xác định tên người dùng hoặc máy tính cụ thể. Đáp án chính xác là tìm và chọn nội dung ẩn trong tệp flag.txt sau khi bạn đã kết nối thành công bằng thông tin đăng nhập đã được cung cấp.

Lưu ý : Bài thi CTT ngoài lý thuyết còn có 10 câu thực hành, đừng chỉ luyện dump không học vẹt hay học thuộc lòng mà phải hiểu rõ. Để hiểu rõ cần làm đầy đủ các bài thực hành qua đó có thể xử lý 10 tình huống thực tập.

Nếu các bạn làm full ilab cua CTT thì không có gì phải e ngại 1 câu lab, còn nếu không sẽ rất khó đậu. Phần câu hỏi ôn thi hay lý thuyết chỉ đáp ứng được 70% số điểm, nếu không làm đủ lab sẽ rớt chắc, và nếu đủ điểm pass khi làm lý thuyết thì vẫn rớt nếu liệt phần lab.

BQT Security365 / CEH VIETNAM

Bình luận về bài viết này

Thịnh hành