Amadey マルウェアに関する活動実態の変遷から得られる教訓
Abstract
サイバーセキュリティの分野において、マルウェアの挙動や C2 サーバの活動実態を把握することはその防御策を講じる上で重要である。セキュリティ研究者によりマルウェアの挙動に関する調査や短期間におけるミクロ視点の攻撃トレンドの調査は行われているものの、1 年以上に渡る C2 サーバの活動実態について言及している調査は少ない。これはマルウェアのバージョンアップデートに伴い、マルウェアと C2 サーバ間の通信も変更が加わることや暗号化により通信内容の把握が困難なためである。しかし、マルウェアの長期間のトレンドを把握することはセキュリティ対策を講じる上で有用である。様々なマルウェアの長期間の活動実態を把握することにより、厚みのあるセキュリティ対策を講じることが期待できる。
本発表では Amadey の C2 通信を再現するエミュレータを実装し、C2サーバのレスポンスを分析することにより Amadey の長期的な活動推移を理解する。2019 年 10 月から、約 47 ヶ月に渡り合計 511 の Amadey C2 サーバに対して実装したエミュレータを利用してデータを収集し、Amadey を使ってばらまかれた 4,885 個のユニークな追加ペイロードを取得した。分析により Amadey が出現した当初は活発な動きが見られなかったものの、2022 年の後半から急激に Amadey が使われると同時に追加ペイロードをばらまく数も同様に上昇していることが分かっている。この結果から、出現当初に目立った活動をしなかったマルウェアであっても数年の時間が経過するに伴い無視できない規模の脅威となり得ると言える。その他、追加ペイロードのばらまきの傾向やその保存先のドメインから得られた教訓、ばらまきの傾向から類推できる他のマルウェアファミリとの関連なども本発表で言及し、その知見を共有する。
Speaker
糟谷 正樹
Slides
English
NSPX30: a Sophisticated AitM-Enabled Implant Evolving Since 2005
Abstract
In 2020, we detected a surge of malicious activity on a targeted system located in China, it had become what we commonly refer to as a “magnet of threats” when attackers attempted to use four different toolkits to compromise this system. This resulted in the discovery of a sophisticated implant we named NSPX30, which it turns out has been evolving since 2005. We attribute NSPX30 to a China-aligned threat actor, which we named Blackwood, that targets Japanese and Chinese companies and individuals.
NSPX30’s initial dropper is delivered to its victims through software updates, and deploys several components on the machine: multiple loaders, an installer, and an orchestrator that downloads the backdoor. Both of the latter are modular, loading plugins designed to spy on its victims.
In this presentation, we will dive into the technical details of the NSPX30 implant, from the attacker’s network capabilities to compromise their victims through AitM to how NSPX30’s orchestrator and backdoor use those capabilities to download components using HTTP requests to Baidu, a legitimate Chinese search engine and software provider. We will analyze the passive backdoor, and how it exfiltrates collected data in DNS requests that are intercepted and sent to attacker-controlled servers.
Speaker
Facundo Munoz
Slides
English
リスクを残さないためのメール侵害分析と対応の勘所
Abstract
世界中で金銭的被害を発生させているビジネスメール詐欺(BEC)の対応として多要素認証の導入が盛んになっている。しかし攻撃者もセキュリティをかいくぐる手法を更新し、2021年ころよりAiTM(Adversary-in-the-middle)攻撃によるアカウント侵害が増加している。
これらのアカウント侵害攻撃は推奨対応や防御策がまとまっておらず、現場担当者が発生したインシデントに関するログ調査や対応に多くの時間を要している。また、対応の不備によって侵害で発生したリスクを完全に除去できずに被害が拡大するケースも想定される。
本講演では、Microsoft 365環境を対象にAiTM攻撃によって発生した実インシデント分析を踏まえ、攻撃者の痕跡やそれらに基づいた対応の勘所をTipsとして整理し共有する。これにより、現場担当者の対応効率化及び残存リスクの低減に寄与したい。
Speaker
飯田 友美
Slides
Japanese
English
Operation So-seki: You Are a Threat Actor. As Yet You Have No Name.
Abstract
本講演では、とある親ロシア派ハクティビストグループX(仮称)を長期追跡した中で得られた知見やハクティビスト対応についての学びを共有する。Xは2022年に活動開始して以来、世界各国を狙ってDDoS攻撃を展開しており、日本でもこれまで鉄道や金融、政府・行政サービスといった重要インフラ関連組織がその標的となってきた。我々はこれまで1年近くに渡ってXによるDDoS攻撃を追跡し、攻撃対象組織への注意喚起と知見を提供する活動Operation So-sekiを進めてきた。
本講演の貢献は以下の3点である。
1. 長期に渡る複数視点での情報収集/分析/考察
我々は複数の観点でXの情報を収集・分析し、追跡を実施した。
・Telegramメッセージ
・攻撃司令(C2)情報(DDoSターゲット情報)
・フロー情報
これらの情報に対してクロス分析を実施し、Xの背景に存在するオペレータの分析やDDoSの対策手法についての考察を提供する。
2. 最新IoCの共有および追跡手法の紹介
Xはセキュリティ組織による詳細な分析レポートが公開されるたびにツール・C2インフラの内部構造を変更しており、最新のインフラ状況については公開されていない。
本講演では、C2インフラについて本稿執筆時点で未公開のIoC情報およびOPSECに配慮してC2サーバを特定する方法を共有する。
3. ハクティビスト対応に関わる考察
長期に渡る活動の中で、我々はメディア報道やSNS等での情報共有行為がXによるさらなる攻撃の増長やTTPsの変更を促し、プロパガンダに利用される場面を数多く観測してきた。
本講演では、情報公開・共有することによるメリット・デメリットとその意義について整理する。
なお、ハクティビスト情報の公開に関する負の影響を鑑み、概要にはアクター名を記載せず、講演内容は参加者への限定公開を予定している。
Speaker
皆川 諒
神田 敦
鮫嶋 海地
Slides
Japanese
English
ESXi: Detect the Future A0acker’s Playground at Ring -1
Abstract
According to VMware, the ESXi Hypervisor, which consists of the vmkernel operating system with the selected Busybox utilities, is secured by design and has a “share nothing” approach for using the virtualization technology. The wide range of Hypervisor usage from hosting enterprise infrastructure has made the system a lucrative target for threat actors. Recently many cybercriminal groups, including the latest Abyss Locker, launched ransomware campaigns targeting this VMWare’s proprietary Hypervisor. On the other hand, Mandiant discovered that APT actors used stealthy techniques to gain critical information and privilege credentials by targeting high-value guest virtual machines (VMs). The defenders are neither provided a defensive solution (such as endpoint detection and response or EDR) nor equipped with sufficient internal knowledge of the vmkernel to protect the Hypervisor. While most systems administrators deploy their ESXi hosts behind a firewall, some leave the VMware vCenter (the server management components for all connected ESXi hosts) exposed to the Internet. Other administrators found securing the credentials and changing the root password unnecessary after the system installation. We as systems administrators talk ourselves into believing the misconception is that this proprietary commercial bare-metal hypervisor is self-protected because no one knows how it works. This presentation explores the detection opportunities and demonstrates the possibilities of developing a live-forensic script to collect relevant artifacts for an incident response investigating similar attacks. Based on past attacks, we discovered more interesting offensive use cases on the Hypervisor. Additionally, we identified bigger risks because sophisticated attackers can implant malware with stealthy techniques on the guest VMs, create untraceable backdoors on the Hypervisor, and even harvest credentials from a Windows domain controller running as a guest VM. If an organization heavily utilizes VMWare ESXi to host server infrastructure with thousands of VMs discovered of a dormant backdoor (e.g. a named pipe created by a piece of Python code once used by ransomware operators), defenders do not just presume that it was only a mistake caused by a previous in-experience systems administrator as huge threat is imminent meaning threat actors may have gained controls of your infrastructure.
Speaker
Frankie Li
Michael Ching
Victor Chan
Lazarus Group's Large-scale Threats via WateringHole and Financial Software
Abstract
The Lazarus Group is one of the major threat actors targeting South Korea. In this announcement, we will cover the activities of Lazarus Group's threat campaigns in South Korea from 2023.
We investigated the campaign by examining over 60 companies and more than 200 hosts in Korea to identify the threat actors' TTPs.
This campaign was carried out through a large-scale infection method using vulnerabilities in financial security solutions and watering hole techniques.
In this announcement, we will provide more detailed information and TTPs to trace and respond to the threat actors involved in the "large-scale infection campaign using vulnerabilities in financial security solutions and watering hole techniques" campaign conducted by Lazarus Group.
we will be presenting based on case studies with a focus on the remaining artifacts from attacks. Additionally, we will introduce common attack techniques observed when the Lazarus Group has targeted South Korea from the past to the present.
Speaker
Dongwook Kim
Seulgi Lee
Slides
English
The Secret Life of RATs: Connecting the Dots by Dissecting Multiple Backdoors
Abstract
本講演では、2023年に公開された3つの攻撃事例を取り上げ、各キャンペーン間のオーバーラップやマルウェアの類似点と相違点から帰属について議論する。分析対象とするのは、台湾・香港・韓国・ネパール・インドへの攻撃が報告されているGroundPeonyと日本国内の組織に対する攻撃で使用されたと報告されているRatelS、フィリピン・台湾・マレーシア・南アフリカ・ドイツ・米国への攻撃が報告されているEarth Estriesである。これらの攻撃者が利用するin-memory PE Loaderが同一であることを確認し、これをMofu Loaderと名付けた。今回調査したGroundPeony/RatelSを使用する攻撃者/Earth Estriesにおいて、ツール・TTPの共通点が見られた。また、RatelSとHemiGateにおいて、長らく複数の攻撃者によって使用されているPlugXとのコード上の共通点が見られたことから、これらの攻撃者間においてツール・TTPの共有のみならず、ソースコードレベルの共有が行われている可能性が考えられる。他にも判明したこととして、Mofu LoaderをアップロードしているVTアカウントを遡って調査したところ、SIESTAGRAPHやHUI Loaderなど、別の脅威アクターに紐づけられているツール群のアップロードも確認できた。ツールアップロードの傾向から攻撃者によるアップロードと見られ、信憑性は低いながらも、より広範囲な協力関係の可能性についても触れる。
この講演から、現在の中国に関連する脅威アクター間における様々なレベルでの協力関係の可能性を、詳細なマルウェアの分析を通じて紹介できれば幸いである。
Speaker
原 弘明
中島 将太
川上 瞭之介
Slides
Japanese
English
Unveiling TeleBoyi: Chinese APT Group Targeting Critical Infrastructure Worldwide
Abstract
Cyberattacks on critical infrastructure have increased in recent years, posing a significant threat to the stability and security of the affected nations. In this presentation, TeamT5 will introduce TeleBoyi, a Chinese-nexus APT that has not been disclosed previously. Based on our research findings, TeleBoyi shows a strong preference for targeting critical infrastructure, with a particular focus on the telecommunication sectors. The group has been active since at least 2014 and is currently still active. Their scope of targeting extends across numerous countries worldwide, including APAC, Americas, and Europe. Our presentation will cover TeleBoyi’s Tactic Techniques and Procedures (TTPs) including their new weapons such as DoubleShell, TripleZero, and FakeWorker. Moreover, we will discuss overlapping TTPs with other notorious APT groups including Amoeba (APT41), DirtyFuxi (Earth Berberoka), and FamousSparrow. As the activities by TeleBoyi have not yet been documented, we believe the techniques and tactics disclosed in this presentation can help blue teams prevent, detect, and respond to Teleboyi's attacks more efficiently and effectively.
Speaker
Yi-Chin Chuang
Yu-Tung Chang
Slides
English
Threat Intelligence of Abused Public Post-Exploitation Frameworks
Abstract
Post-Exploitation Frameworkは、攻撃者が標的環境侵入後に活動を継続するために使用される。Post-Exploitation FrameworkにはGitHub等を通してインターネット上に公開されているものが複数ある。これらは金銭的なコストを必要とせず、容易に利用できることから、攻撃者に悪用される事例が多く報告されている。
これらPost-Exploitation Frameworkを分析することで、永続化時のファイルパスやタスク名、C&C通信時のプロトコルなど確度の高い脅威インテリジェンスを得ることができる。実際に複数の調査結果が報告されており、セキュリティアナリストはそれらの情報をインシデント調査や攻撃検知に活かすことができる。しかし、これらの調査結果はフレームワークの更新状況に追従していない場合が多数ある。
IIJ SOCでは、以下の条件を満たすPost-Exploitation Frameworkを今後も悪用可能性があるものと考え、ソースコードレベルで各フレームワークの機能とインジケータについて分析した。
・攻撃への悪用事例が報告されている
・MITE ATT&CKのTactics種別を5種類以上満たす機能を持つ
本講演では、IIJ SOCにて分析したPost-Exploitation Frameworkの以下の項目について発表する。
・Post-Exploitation Frameworkの機能
・分析により得たインジケータ
・インシデント調査におけるインジケータの活用シーン
Speaker
武田 理史
古川 智也
Slides
Japanese
English
LIGHTNING TALK SESSION 1
Slot #1
Title: Where is “that” anti-debug? Introduction of AntiDebugSeeker
Speaker: 武田 貴寛
PDF(English)
Slot #2
Title: Z9 Malicious PowerShell Script Analyzer
Speaker: 百塚 真弥, 竹中 一誓
PDF(English)
Slot #3
Title: Bypass of anti-fraud filters with modern proxyware infrastructure: What we saw in data and how we setup the honeypot
Speaker: Philippe Lin, ChenYu "GD" Dai
LIGHTNING TALK SESSION 2
Slot #1
Title: Active DirectoryにおけるLDAPの攻撃目線と防御目線の活用
Speaker: 鵜山 通夫
PDF(Japanese)
Slot #2
Title: スミッシングモニターリリース直前裏話
Speaker: 柘植 悠孝
Slot #3
Title: 公開リポジトリにおける自動Exploit判定の実装から得られた知見と課題
Speaker: 赤木 雅弥
PDF(Japanese)
XFiles: 悪性MSIX/APPXの大規模分析
Abstract
昨今の攻撃キャンペーンでは、MSIXやAPPX形式の新しいアプリケーションパッケージ(以下、新型パッケージファイル)が使用される。新型パッケージファイルはMicrosoft公式のツールやサードパーティ製のツールなど、様々なツールで製作可能である。また、パッケージ内に含まれるデジタル署名や、PSF (Package Support Framework) など、いくつか重要な解析のポイントが存在する。しかし、新型パッケージファイル自体の認知度がそもそも低く、解析手法がいまだに確立されていない。本講演ではまず、新型パッケージファイル構造や動作の仕組みについて、実際に制作ツール等を用いながら明らかにしていく。特に本講演では、攻撃者が好んで用いる新型パッケージファイルの製作ツールやオプションについて解説し、実際に制作、実行した場合の一連の挙動、及び悪用が可能なポイントについて説明する。次に、実際の検体を用いて新型パッケージファイルの解析を行った結果を紹介する。我々はオンラインのマルウェアデータベースに投稿された検体を良性・悪性問わず10,000検体弱収集し、その特徴の解析を行った。また、新型パッケージファイルの解析を効率的に行うために、我々は大規模な分析によって得られた知見を踏まえ、新しいツールの開発を行った。さらに、PowerShellスクリプトの効率的な分類を行う手法を実装し、大規模なPowerShellスクリプトのクラスタリングを可能にした。
本講演の聴講者は、新型パッケージファイルを用いた攻撃事例について、検体の解析結果を踏まえながら、具体的な攻撃手法を知ることができる。また、悪性でない検体を含む10,000検体弱の解析結果を基に、新型パッケージファイルの悪性挙動の解析時に着目すべきポイントを知ることができる。さらに、本講演にあわせて配布するスクリプト群を用いることで、大規模な解析で裏付けられた新型パッケージの解析に着目すべきポイントにおける、効率的な解析を行うことができる。
Speaker
野村 和也
吉川 照規
元田 匡哉
Slides
Japanese
Ghost in Your Supply Chain
Abstract
Throughout 2023, we observed multiple APTs targeting Taiwan's financial sector, with the supply chain identified as the primary root cause. In first incident case, threat actors exploited the MDM platform, gaining access to the internal network. Additionally, they utilized the ticket system - JIRA, to execute reconnaissance commands, conduct information gathering. We further expand on the new TTP we discovered involving the abusing of Jira. This case will also introduce another concept - Malware-Free Attacks, illustrating how hackers can launch attacks without using any malware. The second incident persisted for four months via island-hopping attacks. Exploiting the interconnected infrastructure within the financial group, three subsidiaries suffered damage. We details how threat actors, utilizing a legitimate VPN channel, gained access to the intranet. During the investigation, we also discovered the information in the C2, thus the leakage data and other victims could be found.
In conclusion, synthesizing these two incidents on financial sector, we identify the potential threats that enterprises through supply chain. At the end of the presentation, we will summarize all the supply chain attacks we have observed in the past and provide a comprehensive map for supply chain channels abused by threat actors.
Speaker
Alian Wang
Chung-Kuan 'CK' Chen
標的型攻撃者によるVSCodeの武器化
Abstract
2015年にリリースされ、今やモダン開発現場では必要不可欠となった Visual Studio Code(以下、VSCode)ですが、機能の充実に伴って開発者だけではなく攻撃者にとっても魅力的なツールとなりつつあります。例えば、「リモート開発」機能はVSCodeからサーバーやコンテナに接続することで手元の環境を汚さずに安定した開発を行える一方、当該機能を経由してPowerShellを実行したりファイル操作を行えるなどのリスクが以前より指摘されていました。また、「RAT」と言えば TeamViewer や AsyncRAT のようなメジャーなツールの検知や禁止を行っている組織は多い思いますが、VSCode となると「RAT」として使用できる事実の認識が無かったり、開発者が「通常の業務」として使用している組織が多いと推測しています。このような状況を踏まえて、本講演では当社分析チームが直近で観測した「標的型攻撃者によるVSCodeの悪用事案」について、その手口と悪用された際のアーティファクト、Hunting手法について解説いたします。
Speaker
笹田 修平
羽鶴 颯
Slides
English
Analysis of Activities and Tools of Phishing Actors Targeting Japan
Abstract
フィッシング詐欺被害は増加傾向にあり、フィッシング対策協議会が公開しているフィッシングレポート2023によると、2022年下半期の情報届け出は50万件、フィッシングサイトのURL数は同年上半期の約3倍に増加しており、もはやフィッシング詐欺は無視できない脅威となっている。 PhaaS(Phishing as a Service)の台頭などによりフィッシング詐欺を取り巻くエコシステムは急速に拡大しており、フィッシング詐欺に関わる「フィッシングアクター」の分業化がより一層進んでいる。フィッシング詐欺の実態を把握するためには、役割の異なる「フィッシングアクター」の存在を前提として、それら「フィッシングアクター」の関係性を踏まえて全体像を捉えることが重要である。我々はフィッシング詐欺における「フィッシングアクター」の活動に着目し、日本をターゲットとした「フィッシングアクター」の活動を追跡し、日本をターゲットにしたフィッシング詐欺に実際に利用されているフィッシングキットの分析に取り組んできた。現在、我々は「フィッシングアクター」同士が交流する「フィッシングコミュニティ」を複数発見し、その動向を追跡している。
本講演では、日本をターゲットにしている「フィッシングコミュニティ」について複数の事例をピックアップして共有する。これらのコミュニティの中には古くは2021年頃から存在しているものも含まれており、いずれも2023年12月現在においても活動が観測されている。さらに、これらのコミュニティで実際に流通していたフィッシングキットの分析結果を報告するととともに、そのフィッシングキットを用いて構成されたフィッシングサイトの構造的特徴およびその特徴を活用した検知手法について共有する。
Speaker
益本 将臣
坪井 祐一
Slides
Japanese
English
フィッシングサイトに対するDeceptionアプローチ
Abstract
近年、フィッシングサイトの数が急増しており、状況が悪くなる一方である。彼らの主な目的はクレジットカード情報やオンライン口座の認証情報など「金の種」を狙うことがわかっている。
フィッシング攻撃に対する対応として、一般的には
1. テイクダウン
2. 一般ユーザーへの啓蒙
の2つ手段がある。しかし、ABUSEによるサイトのテイクダウンは報告先の対応に依存し、攻撃者のインフラの選択により大きな制限を受けることになる。一般ユーザーへの啓蒙も一朝一夕には進まない。
延々とテイクダウンを継続する対応は心が病んでいくため、上記以外の対応として何ができるか調査し、Deceptionのアプローチを試してみた。本講演では、2つの攻撃グループが作成したフィッシングサイトに対して行なったアプローチについて説明する。また、一連の作業において発生してきた問題と対策を共有する。
Speaker
猪野 裕司
吉川 允樹
ランサムウェア攻撃のアクター特定をすべきこれだけの理由
Abstract
侵入型ランサムウェア攻撃被害のインシデント対応では復旧作業や個人情報漏洩調査が優先され、侵入原因や侵入後の横展開の動きなどの調査が不徹底なまま、適切な再発防止策が取られていないケースが散見されます。特に、アクターの特定が適切に行われないことで侵入原因を誤認し、脆弱なホストが放置されたままであったり、感染したマルウェアを取りこぼしているケースも確認されています。本発表では、この3年ほどの間にJPCERT/CCが対応した侵入型ランサムウェア攻撃事案で特定した、いくつかのアクターについて紹介し、同時に、アクターの特定が行われなかったことで初動対応に不備があった事例を紹介し、アクター特定によっていかに適切な初動対応が行われるのか解説します。
[取り上げるアクター例]
* RobinHood Leaks
* DEV-0401
* Lazarusのサブグループ (Andariel/Stonefly)
そして、アクターの特定というものにより、適切な初動対応がどのように被害組織の負担/被害を軽減するのか、さらに、今後ランサムウェア攻撃を減らしていくためにいかに重要な要素であるのか解説します。
Speaker
佐々木 勇人
Slides
Japanese
English
Spot the Difference: An Analysis of the New LODEINFO Campaign by Earth Kasha
Abstract
LODEINFOは、2019年から日本を標的とした攻撃で展開されているマルウェアであり、APT10に関連するグループによる使用が疑われている。Trend Microでは、LODEINFOを使用する攻撃者を「Earth Kasha」として追跡している。Earth Kashaは、スピアフィッシングメールで公的機関や学術関係者などを標的としてきたことで知られているが、2023年に入り、この戦略・戦術に大幅な変更が加えられた新たなキャンペーンを補足した。まず、初期侵入経路として、VPN機器やオンラインストレージなど外部公開サービスの脆弱性を悪用した侵入方法が新たに観測されている。また、それに伴い攻撃対象にも変化が見られた。日本だけでなく台湾、インドが標的に加えられ、先端技術を持つ企業や公的機関を狙うなど、興味関心の対象が変化していた。また、Earth Kashaの初期侵入以降のTTPsについても、今回のキャンペーンではネットワーク内での横展開や認証情報などを含むデータ窃取を目的とした活動が観測された。これらの事例のほとんどでLODEINFOの使用が確認されている。またLODEINFO以外にも、「NOOPDOOR」と名付けた未報告のバックドアの使用も確認された。NOOPDOORは、1日ごとにC&Cサーバが変更されるDGA機能や、バックドアコマンドを他NOOPDOORに中継する機能を有するといった特徴を持っている。このような特徴から、NOOPDOORはさらに高度なペイロードとしての役割を担っていると推察される。最後に、帰属に関する考察として、これまで述べた情報の分析を通じて、旧来のAPT10およびAPT10関連とされるEarth Tengshe、また2023年初め頃までのEarth Kashaの過去キャンペーンとの類似点・相違点について述べる。
Speaker
原 弘明
庄子 正洋
東 結香
Vickie Su
Nick Dai
Slides
English
Unmasking HiddenFace: MirrorFace’s most complex backdoor yet
Abstract
In August 2023, we detected cyberespionage activity carried out by the APT group MirrorFace against a research institute in Japan. During the investigation, we found that besides LODEINFO, the group's go-to backdoor, MirrorFace also deployed a yet unknown backdoor that we named HiddenFace.
HiddenFace is a backdoor with a heavy focus on modularity, giving its operator the flexibility to reactively tailor HiddenFace precisely for current needs. Besides the modular system, HiddenFace has other interesting features such as various anti-detection and anti-analysis protections, communication in an active or a passive way, an internal framework provided to received modules, a system for data categorization, and a domain generation algorithm. The overall complexity and versatility of HiddenFace surpasses LODEINFO in many ways, making it the most powerful tool in MirrorFace’s arsenal that we have seen so far. The observed combination of per-victim encryption and fileless techniques used by MirrorFace to hide HiddenFace indicates it is especially valuable to the group.
In our presentation, we will describe HiddenFace’s execution process utilizing FaceXInjector, yet another previously undescribed MirrorFace’s tool. Further, we will provide technical details of HiddenFace and its components, demonstrating HiddenFace significantly surpasses LODEINFO, the only known backdoor used exclusively by MirrorFace until now.
Speaker
Dominik Breitenbacher
Slides
English
Infrastructure Tracking With Mihari
Abstract
多くのリサーチャーやCSIRTの担当者がインターネット検索エンジン(Shodan, Censysなど)や、Passive DNS/SSL(Security Trails, Passive Totalなど)をC2や所謂ASM(Attack Surface Management)の調査に活用しています。しかし、インターネット検索エンジンやPassive DNS/SSLには複数のサービスがあり、それぞれ一長一短あります。このため、(予算に余裕があれば)複数のサービスを組み合わせて調査することが望ましいと言えます。しかし、サービス間を跨ると、それぞれのサービスの検索結果を統合して管理することが難しくなります。また別の問題として、継続性や一貫性の問題があります。人力で検索をしている場合、見落としや差分の把握が難しくなります。これらの問題を解決するため、OSSとして開発しているMihariというツールをワークショップ形式で紹介します。
https://github.com/ninoseki/mihari
これは複数のサービスの検索クエリーを、Sigmaライクなルールに記述することで一元管理できるようにするものです。検索結果はデータベースに保存され、自動的に差分管理が行われます。本ワークショップでは、このツールのコンセプト・概要から実践的な運用方法まで併せて紹介します。
Speaker
二関 学
Requirements
- ラップトップ (Windows or Mac)
- Docker
Advance Preparation
- Dockerが使用できる準備
Skills
- 基本的なLinuxの知識 (Ubuntu or Debianをハンズオン環境として使用予定)
Repository
https://ninoseki.github.io/jsac_mihari_workshop/仕組みから学ぶクラウド不正アクセス調査入門
Abstract
今や、企業のIT現場において必須となりつつあるパブリッククラウド。従来のオンプレミス環境と比べて、リソースの即時確保や迅速な開発やデプロイが可能であり、需要に応じたリソースの増減によりコスト効率的なシステム運用の実現が可能なことから国内外で急速に普及しています。しかし、クラウドは比較的新しい技術であり、クラウドに関するセキュリティの知見や周知が不足や手軽さも相まって国内外でクラウドに関するセキュリティインシデントが多発しています。クラウドはアクセス制御やログのフォーマットのような基本的な部分から従来のオンプレミスと異なるため特有の対策が必要です。真に有効なクラウドセキュリティの体制を確立するには、ベンダーが唱えるようなソリューションありきの対策以前に、クラウドの仕組みや、それを取り巻く脅威について学ぶことが重要と考えます。本講演では、実際に起きたセキュリティインシデントをベースとし、クラウドの仕組みと攻撃手法の解説、ログ調査のハンズオンを行うことでクラウドセキュリティを学ぶための基礎を提供することを目標としています。
Speaker
羽鶴 颯
齋藤 徳秀
宮下 大祐
山本 高弘
Requirements
- 分析用の端末
- VM
Advance Preparation
- TBA
Skills
- AWS、Azure、GCPの何れかによる、簡単なシステム構築の経験があることが望ましい
External Attack Surface の調査手法と実践
Abstract
EASM(External Attack Surface Management)行うための手法を、座学およびハンズオン形式により学習していただきます。EASMは、昨今ランサムウェアなどのサイバー犯罪を中心とした侵害のきっかけとなっている外部に公開されたネットワークアプライアンスやサーバ等の資産の把握と管理を行う取り組みを指します。
本ワークショップでは、なぜEASMが必要なのか、いま頻繁に標的となり悪用されているサーバとは何か、EASMで最も重要な自組織の外部公開資産を網羅的に把握する調査方法などをお伝えします。
また資産を把握した後のリスク評価の観点や効率的なリスク調査手法、重大な脆弱性の有無などの判断方法についてもお伝えします。従来、VPN製品等のネットワークアプライアンスに関しては、残念ながら多くの脆弱性スキャナーでは脆弱性有無を判断することができませんでした(クレデンシャルスキャンを除き)。しかしながら、製品によってはサーバレスポンス中の特定箇所を参照することで、サーバのバージョン情報を推測し脆弱性有無を判断できる場合もあるため、その方法もお伝えします。
ハンズオンでは、座学でお伝えした調査手法を実際に使い、特定組織の資産を探索しリスク評価を実施していただきます。お伝えした方法が正しく理解できているかを確認するための課題も用意しており、本領域の初学者でも理解しながら進めることができます。
本ワークショップを通じて、自組織から国内外の拠点や関係会社の持つ外部公開資産=External Attack Surface/攻撃対象面の把握とリスク対策を実施できるようになるため、自組織またはグループ企業のセキュリティ向上、ガバナンス強化などに活かしていただけます。
Speaker
政本 憲蔵
山﨑 剛弥
瀬治山 豊
勅使河原 猛
Requirements
- ブラウザとMicrosoft Excel がインストールされたパソコン
Advance Preparation
- Pythonの実行環境
- 必須ではないが紹介するサービスのアカウント
Skills
- ユーザ企業のセキュリティ担当者(この領域の未経験者でも問題ありません)
Title
Abstract
TBA
Speaker
TBA
Requirements
- TBA
Advance Preparation
- TBA
Skills
- TBA
Dongwook Kim
KRCERT/CC
Dongwook Kim have been working for KRCERT/CC since 2013 as Computer Incident Analyst. He has a lot of experiences related to internet security incident response(Supply Chain Attacks, cryptocurrency exchange hacking and so on). Recently, He is tracking and analyzing specific hacking group targeting Korea.
Seulgi Lee
KRCERT/CC
Seulgi Lee is currently a malware analyst at Korea Internet & Security Agency. He carried out research into cyber security such as cyber threat intelligence, SIEM for 7 years from 2012 in the R&D department. After moving to KrCERT/CC position, He has been analyzing threats targeting Korea and sharing insights based on the results to prevent the infringement cases and minimize the damage in Korea.
Facundo Munoz
ESET
Facundo Munoz is a malware researcher, working for ESET since 2021. Facundo focuses on hunting and analyzing advanced persistent threat malware from China-aligned threat actors, and writing reports for ESET’s threat intelligence services. Facundo has presented at conferences such as BotConf and NorthSec.
政本 憲蔵
株式会社マクニカ
株式会社マクニカ セキュリティ研究センター長。IDS/IPS、WAF、Sandbox、EDRと一通りのセキュリティ製品を経験し、2013年からサイバー攻撃および対策ソリューションのリサーチを行う。Win95時代からサイバー犯罪を目にしてセキュリティに興味を持ちながら、脆弱性診断でヤらかしてしまうなど、様々な失敗を繰り返しながら現在に至る。
山﨑 剛弥
株式会社マクニカ
株式会社マクニカ セキュリティ研究センター所属。DDoS攻撃対策や標的型攻撃対策等の製品担当、セキュリティエバンジェリストを経て現職。現在はAttack Surface Managementやサイバー防御競技等の独自サービスの開発および提供を行っている。セキュリティ勉強会「濱せっく」主催、Mini Hardening運営、セキュリティ・キャンプ2023講師。
瀬治山 豊
株式会社マクニカ
株式会社マクニカ セキュリティ研究センター所属。日系企業のサイバー攻撃による被害を1件でも減らすため主にランサムウェアや脆弱性関連の脅威動向リサーチとAttack Surface Managementによる対策の情報発信活動に注力。日々公表される脆弱性情報の確認とOSINT(頻繁にShodanを利用)によるサーバの調査を日課とする。SNSでは@nekono_nanomotoniとして活動。
勅使河原 猛
株式会社マクニカ
株式会社マクニカ セキュリティ研究センター所属。Attack Surface Management サービスの提供・開発、新規商材のリサーチ、講演活動など様々な業務に従事。Attack Surface Management Service では製品やそのバージョンを一意に示す情報などを主に調査。
武田 理史
株式会社インターネットイニシアティブ
2018年にSOCへ配属。SOCインフラの構築・運用やEDR検証を経験。現在はアナリストとして、主にマルウェア解析業務などに従事。
古川 智也
株式会社インターネットイニシアティブ
2017年にSOCへ配属。SOCの検知ルール管理から分析システムのインフラ運用までSOC全般の業務を経験。現在はアナリストとしてマルウェア解析に従事。
Yi-Chin Chuang
TeamT5
Yi-Chin Chuang is a Threat Intelligence Researcher at TeamT5. She is interested in reverse engineering and malware analysis. Currently, her research focuses on the APT threat in the APAC region.
Yu-Tung Chang
TeamT5
Yu-Tung Chang is a Threat Intelligence Researcher from TeamT5. He is interested in reverse engineering, vulnerability exploiting and malware analysis. He is engaged in network attacks research and rule writing. Currently, his research focuses on cyber threat intelligence in the East Asia region. He has spoken at Code Blue 2022.
飯田 友美
伊藤忠サイバー&インテリジェンス株式会社
伊藤忠サイバー&インテリジェンスにてメールを起因とするセキュリティインデントの対応や分析を担当。前職ではIdentity & Security領域のMicrosoft製品について法人顧客を対象に技術支援を実施。
皆川 諒
株式会社エヌ・エフ・ラボラトリーズ
NFLabs. で脅威インテリジェンスの生成やマルウェア解析業務に従事。NTTコミュニケーションズの脅威インテリジェンスプロジェクト NA4Sec では攻撃者の使用するツールの解析を担当。日本への標的型攻撃を少しでも捕捉、情報共有できるよう VirusTotal を日々 Watch している。JSAC2023スピーカー。
神田 敦
NTTコミュニケーションズ株式会社
NTTコミュニケーションズ株式会社にて脅威インテリジェンスプロジェクトNA4Secを立ち上げ、チームをリードしながら自身もリサーチャーとして脅威インフラの調査・分析に従事。元ネットワークエンジニアならではの視点からの考察を得意とする。NTTグループ認定セキュリティプリンシパル。
鮫嶋 海地
NTTコミュニケーションズ株式会社
NTTコミュニケーションズ株式会社の新入社員。大学時代はIoTマルウェアの研究に従事し、マルウェアが悪用する脆弱性の分析やC&Cサーバの監視を行っていた。
Frankie Li
Frankie is an independent researcher specializing in computer forensics and malware analysis. He published a research paper on “Evidence of Advanced Persistent Threat: A Case Study of Malware for political espionage.” His “APT Attribution and DNS Profiling” research was presented at the 2014 US Black Hat conference. He is also a frequent speaker at cybersecurity conferences in the APAC region, such as HTCIA APAC, ISSUMMIT, HITCON, (ISC)2 Security Congress, Cyber Security Consortium, and CyberCrimeCon. He also holds some certifications from the SANS Institute.
Michael Ching
PwC Hong Kong
Michael is a lead of cyber threat operations team with PwC Hong Kong's Dark Lab, with a strong focus in digital forensics and incident response. He takes an important role of assisting enterprises and organisations in their recovery from cyberattacks, utilizing knowledge in both cyber defense and offensive security methodologies. Michael is a proactive leader within the realm of cyber threat operations, conducting research on the tradecraft of threat actors, and combining these field experience from incidents response as well as threat intelligence into valuable insights and enhancements in offensive security, security operations, and cloud technologies within our team.
Victor Chan
Victor is a Dragon Advance Tech Consulting cyber security analyst specializing in Endpoint Detection and DFIR. He has a strong background in the field, demonstrated by completing a research paper with Frankie Li titled 'Collecting Forensic Evidence from SaaS Applications: A Study of Microsoft 365 Forensics'. In his previous assignments, he had helped with a possible APT investigation for an APAC hospitality chain. Victor's passion lies in advanced offensive techniques and knowledge in reversing malware, which enable him to more easily identify the root causes of security incidents from sophisticated attackers. With his expertise and dedication, he consistently strives to enhance security measures and protect against potential threats.
猪野 裕司
株式会社リクルートテクノロジーズ
2016年より株式会社リクルートテクノロジーズに入社。リクルートCSIRTとして、リクルートにおけるセキュリティ事故対応のチームリードを行う。2021年4月に、サイバー犯罪対策グループを発足、サイバー犯罪対策のためのカード不正やなりすましログインなどを専門とした分析調査を実施。CISSP、GCIH、GCTI、GNFA。
吉川 允樹
株式会社リクルートテクノロジーズ
株式会社リクルートテクノロジーズにて脆弱性診断やペネトレーションテストに従事。現在はリクルートCSIRTとしてセキュリティ事故対応、監視対応、脅威ハンティング等を行う。
糟谷 正樹
BlackBerry Japan 株式会社
BlackBerry Japan 株式会社のアジア太平洋地域チームの一員として、マルウェア解析及び技術解析ブログの執筆を担当。近年はマルウェアエミュレータを実装、運用することにより C2 サーバの活動やばらまかれる追加ペイロードの調査に関心を持つ。博士論文では、ステルス性の高いマルウェアの特徴的な振る舞いを誘発する手法について執筆し、その研究内容に関して学生論文賞、最優秀学生発表賞を受賞した。
羽鶴 颯
伊藤忠サイバー&インテリジェンス株式会社
地元長崎にて3年間のシステム開発、及び、運用を経験したのち、都内セキュリティ企業にて5年間に渡りWAFの開発、運用、Webセキュリティ対する攻撃・防御手法の研究に従事。その後、大手企業のCERT組織にてセキュリティ製品の検証やポリシー策定、インシデント対応にあたる。2023年より伊藤忠サイバーインテリジェンスに転籍。
齋藤 徳秀
株式会社Flatt Security
学生時代より、開発やセキュリティに関する業務に携わり、2020年度卒業後、株式会社Flatt Securityに入社。現在は同社でセキュリティエンジニアとして、主にWebアプリケーションやパブリッククラウドを対象としたセキュリティ診断を担当。ISOG-J WG1やセキュリティキャンプなどの外部団体での活動も行っている。
宮下 大祐
株式会社ステラセキュリティ
アカツキゲームスにてプロダクトセキュリティとコーポレートITセキュリティを高める業務に従事。趣味は脆弱性診断の品質向上
山本 高弘
伊藤忠サイバー&インテリジェンス株式会社
Sierのセキュリティビジネス部門にて、セキュリティソリューションの提案、構築、およびコンテナやパブリッククラウド向けのセキュリティソリューションの調査、検証を経験。現在は伊藤忠サイバー&インテリジェンスにて分析官として従事している
原 弘明
トレンドマイクロ株式会社
He focuses on threat intelligence research in Asia-Pacific region. He specializes in threat hunting, incident response, malware analysis and targeted attack research. He has previously presented at JSAC 2021/2022/2023 and HITCON 2022.
中島 将太
株式会社サイバーディフェンス研究所
株式会社サイバーディフェンス研究所でマルウェア解析、インシデントレスポンス業務、脅威リサーチ業務に従事。JSAC、HITCON、AVAR、CPRCon、Black Hat EUROPE Arsenal、CodeBlue BlueBoxなどで発表経験あり。セキュリティ・キャンプやJSACでワークショップを実施。
川上 瞭之介
株式会社サイバーディフェンス研究所
新卒で株式会社サイバーディフェンス研究所に入社。学生時代にマルウェア解析を始めとしたサイバーセキュリティに強い興味を持ち、独学や研究、インターンシップを通じてスキルを磨いてきた。入社後はマルウェア解析、脅威情報の収集・分析業務に従事。
野村 和也
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパンのSOCアナリスト。昨年度はJSAC2023、CODEBLUEに登壇。今年度はHITCON 2023 CMTに登壇。作曲家。
吉川 照規
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパンのSOCアナリスト。SOCではNW/EDRのアラート監視の他、内製システムの開発に従事。
元田 匡哉
NTTセキュリティ・ジャパン株式会社
NTTセキュリティ・ジャパンのSOCアナリスト。セキュリティ・ミニキャンプ in 山梨 2023 講師。自動車技術会 サイバーセキュリティ講座 企画委員。パワーリフター。
Alian Wang
CyCraft Technology
Alian Wang is currently a security analyst in CyCraft, mainly focuses on incident response, threat intelligence analysis, and cybersecurity analyst skills training. With a strong background in computer science and cybersecurity, Alian Wang has been actively involved in the field for several years. Prior to her role at CyCraft, she has worked at TWCERT/CC as an analyst to helped them identify, report and mitigate security threats.
Chung-Kuan 'CK' Chen
CyCraft Technology
Chung-Kuan Chen is currently the security research director in CyCraft, and responsible for organizing the research team, and Adjunct Assistant Professor in Soochow Uiniversity, Taiwan. He earned his PHD degree of Computer Science and Engineering from National Chiao-Tung University (NCTU). His research focuses on cyber attack and defense, machine learning, software vulnerability, malware and program analysis. He tries to utilize machine learning to assist malware analysis and threat hunting, and build automatic attack and defense systems. He has published several academic journal and conference papers, and has been involved in many large research projects from digital forensic, incident response to malware analysis. He also dedicates to security education. Founder of NCTU hacker research clubs, he trained students to participate in world-class security contests, and has experience of participating DEFCON CTF (2016 in HITCON Team and 2018 as coach in BFS team). He organized the BambooFox Team to join some bug bounty projects and discover some CVEs in COTS software and several vulnerabilities in campus websites. Besides, he has presented technical presentations in technique conferences, such as BlackHat, HITCON, CHITB, RootCon, CodeBlue, JSAC, FIRST and VXCON. As an active member in Taiwan security community, he is the chairman of HITCON review committee as well as director of Association of Hacker In Taiwan, and member of CHROOT - the top private hacker group in Taiwan.
笹田 修平
伊藤忠サイバー&インテリジェンス株式会社
伊藤忠サイバー&インテリジェンスにてアラート監視やインシデントレスポンス、スレットリサーチなどに従事。
益本 将臣
NTTコミュニケーションズ株式会社
NTTコミュニケーションズ株式会社にて、脅威インテリジェンスプロジェクトNA4Secのメンバーとして活動し、脅威インテリジェンスの調査・分析業務に従事。Xのアカウントを使って、日本を狙ったフィッシングサイトの情報発信を行っている。
坪井 祐一
NTTコミュニケーションズ株式会社
2023年よりNTTコミュニケーションズ株式会社にて、脅威インテリジェンスプロジェクトNA4Secのメンバーとして活動。前職でのセキュリティ関連のシステム開発を担当していた経験を生かし、脅威インテリジェンスの調査・分析システムの設計開発に従事。
佐々木 勇人
JPCERT/CC
早期警戒グループマネージャ兼政策担当部長/脅威アナリスト。(独)情報処理推進機構(IPA)勤務後、2013年に経済産業省情報セキュリティ政策室(当時)に出向。その後2016年よりJPCERT/CC。注意喚起等の情報発信のほか、インシデント対応支援、官民間の情報共有活動に従事。サイバーセキュリティ法制学会理事。2023年大変だったのは「攻撃技術情報の取扱い・活用手引き(案)」づくり。
庄子 正洋
トレンドマイクロ株式会社
He focuses on threat intelligence research and information sharing in Japan. He specializes in incident response, forensics, and attribution research related to intrusion set targeting Japanese organizations.
東 結香
トレンドマイクロ株式会社
She specializes in the leverage of machine learning and data science for the cybersecurity field. She applies this expertise to Threat Hunting using a variety of data to find traces of attacks that are difficult to find using existing methods.
Vickie Su
トレンドマイクロ株式会社
Vickie Su is a threat researcher in Trend Micro. She is in charge of handling targeted attack cases around the Asia-Pacific region by malware analysis, performing correlating intelligence during the investigation, figuring out threat actors' Tactics, Techniques and Procedures (TTPs).
Nick Dai
トレンドマイクロ株式会社
Nick Dai is a threat researcher in Trend Micro. He is devoted to tracking and detecting APT attacks within APAC region by malware analysis and threat intelligence. He also develops tools for threat hunting and malware analysis. He has published several publications regarding targeted attacks and malwares.
Dominik Breitenbacher
ESET
Dominik is a malware researcher at ESET. Coming from academia, he joined ESET in 2019 to help track the activities of APT groups. In particular, Dominik tracks the China-aligned group MirrorFace and the North Korea-aligned group Kimsuky. In his spare time, he plays video games and watches bad movies.
二関 学
HITCON、Botconf、OBTS、JSACスピーカー。 3級クライマー。