Day2 Speakers

Day 2 : 3rd Nov. 2022(Thu, a Japanese holiday) PM

  • Yutai, Kim / Seungyeon Han / Changmin Hong (ユテ・キム/スンギョン・ハン/チャンミン・ホン)

  • El Kentaro (エル・ケンタロウ)

  • Hiroki Hada (羽田大樹)

  • Jun Kokatsu (小勝 純)

  • Mizuho MORI (森瑞穂)

  • Yi-Hsien Chen (イーシェン・チェン)

  • Karsten Nohl (カールステン・ノール )

How to upgrade enterprise security using numeric technique by Yutai, Kim / Seungyeon Han / Changmin Hong

Abstract : Actually, Many company manage many many security solutions like IPS, WAF, F/W, APT, Anti-virus. and that solutions make much detection logs(Maybe Numerous TB per day). It is so difficult to find really dangerous attacker in huge logs like sea. For this, SIEM appears and recently use machine learning. But, Do you have enough indicators to analysis using machine learing?

Do you like baseball or football? In every sports mechanism, important actions of players be made "numeric" through various techniques. and Through this, you can find who is best player even if you didn't watch all the games. This allows us to get ideas. If we can make "numeric" all tha dectection logs, it is sure we'll find notable player(attacker).

I want to introduce how to identify notable attacker used transform data to numeric and analysis techniques. The purpose of this lecture is to help in charge of security and SOC understand what an how to do in order to do a better job.

Speakers Bio : The speakers worked in various security area more than 10 years in Electric public company and Semiconductor manufacturing industry like enterprise company to reponse incidents and analysis. Now, we make start-up company, and provice security service based bigdata and machince learning to enterprise company.

数値化技法を用いて企業のセキュリティをアップグレードする方法 by ユテ・キム/スンギョン・ハン/チャンミン・ホン

講演概要:実際、多くの企業は、IPS、WAF、F/W、APT、アンチウイルスなど、多くのセキュリティ ソリューションを管理しています。そして、そのソリューションは多くの検知ログを出力します(おそらく1日あたり数TB)。海のような巨大なログの中から、本当に危険な攻撃者を見つけるのは非常に困難です。そのためにSIEMが登場し、最近では機械学習を利用しています。しかし、機械学習を使って分析するための十分な指針がありますか?

野球やサッカーが好きですか。あらゆるスポーツの仕組みにおいて、選手の重要なアクションはさまざまな手法によって「数値化」されています。これにより、すべての試合を観戦しなくても、誰が最高の選手かを知ることができます。このことからアイデアを得ることができます。すべての検知ログを「数値化」できれば、注目すべきプレイヤー(攻撃者)が確実に見つかります。

データを数値に変換する手法や分析手法を用いた注目すべき攻撃者の特定方法を紹介したいと思います。この講演の目的は、セキュリティとSOCを担当する担当者が、より良い仕事をするために何をすべきかを理解するのに役立つことです。

講演者紹介:講演者は、10年以上にわたり、電機メーカーや半導体製造業界などのエンタープライズ企業のさまざまなセキュリティ分野で働き、インシデントと分析に対応しました。 現在はベンチャー企業を立ち上げ、ビッグデータや機械学習を活用したセキュリティサービスをエンタープライズ企業に提供しています。


Get away from your screen and go out wardriving by El Kentaro

Abstract : Wardriving is for noobs you say? But is it? With the emergence of IoT, smart appliances everything and everyone is getting connected online. We are in the renaissance of wireless. In this presentation I will present the latest in wardriving for beginners to advanced wifi hunters.

Speaker Bio : El Kentaro is the guy who builds wifi gadgets for fun and has been involved with the hacker community for over two decades. Kentaro enjoys watching movies and taking long warwalks at night strolling through the dark corners of Tokyo.

ラップトップを捨てて街に出よう。 Wardriving / Wifi ハンティングのすすめ。by エル・ケンタロウ

講演概要:「War Driving / Wifi ハンティングなんて、ガキの遊びっしょ。」ってよく聞きますが、果たして本当にそうなのか?IoTの台頭、スマート家電、コロナ禍、ありとあらゆる物がネットワークに繋がってきた昨今、ツールも昔に比べてより強力になってきた今こそワイヤレスルネッサンスの時期といえるのでは。そんな今だからこそ、War Driving/Wifi ハンティングを見直してみようという講演。初心者から熟練者まで今のWardriving / Wifiハンティングの最新状況を話します。

講演者紹介:エル・ケンタロウはWifiハッカーとして、DEFCONのRFCTFで2年連続4位、2022年はチームでDEFCONブラックバッジを獲得。昔から、日本のハッカーシーンと海外の橋渡しをしてきた。また、wifi cactusで知られるD4rkm4tterと共同で、Wireless Shitshowというワイヤレス関連のポッドキャストを配信中。

Power Automate C2 by Hiroki Hada

Abstract : Power Automate is an RPA tool that works on the cloud and has powerful functions, so it is called the New PowerShell. This is also useful for the attacker, enabling the Living off the Land attack that leaves no logs on the client and is completed in the cloud. However, the attacker needs continued access to Power Automate on the victim user to manage the flow. Power Automate provides a connector called Power Automate Management as a function to manage the flow itself. In this presentation, we will introduce the concept and demo of Power Automate C2 which uses only Power Automate Management and the basic functions of Power Automate. This enables to create and delete flows remotely and leave no logs even after losing access to Power Automate.

Speaker Bio : Working in SOC

Power Automate C2 by 羽田大樹

講演概要:Power Automate はクラウド上で動作する RPA ツールであり、"新しい PowerShell" と称されるほど強力な機能を有する。これは攻撃者にとっても同様に便利であり、クライアントに痕跡を残さずクラウドで完結する Living off the Land な攻撃を実現する。ただし、攻撃者がフローを管理するためには被害ユーザーでの Power Automate への継続的なアクセス権が必要となる。 Power Automate ではフロー自体を管理するための機能として Power Automate Management というコネクタが用意されている。本発表では、Power Automate Management と Power Automate の基本機能だけを用いて、Power Automate のアクセス権を失った後でもリモートからフローを作成・削除し、実行ログを残さない Power Automate C2 のコンセプトとデモを紹介する。

講演者紹介:SOC勤務

Evaluation of Mitigation for Prototype Pollution by Jun Kokatsu

Abstract : Prototype Pollution is a relatively new vulnerability class.
And due to its nature, current security mitigations such as Strict CSP might not be effective against XSS caused by Prototype Pollution bugs. And worse, there are more ways to exploit Prototype Pollution bugs beyond XSS.

In this presentation, I will talk about various mitigations we thought through for Prototype Pollution at Google, which can be applied by Web applications. And then advantages and disadvantages for each of them.

Speaker Bio : Security Engineer at Google. Previously worked at Microsoft Edge team, where he combat with security disasters such as XSS filter and IE, and successfully won the battle. He's also known as a bug hunter, where he (ab)used many features in websites and browsers in creative ways to get rewards.

Evaluation of Mitigation for Prototype Pollution by 小勝 純

講演概要:プロトタイプ汚染は比較的新しい脆弱性です。
その特性の為、プロトタイプ汚染によって起きるXSSはStrict CSPなどのセキュリティ緩和策が効かない場合があります。
更にプロトタイプ汚染を使ったXSS以外の攻撃手法も考案されています。

この講演ではGoogle社内で検討したサイト側で実装するプロトタイプ汚染の緩和策とそれらの長所と短所を紹介します。

講演者紹介:Googleのセキュリティエンジニア。前職はマイクロソフトのEdgeチームで、XSSフィルターやIEなどセキュリティ災害の撲滅活動に準拠し、見事2つとも成し遂げた。以前はバグハンターとしてサイトやブラウザのあらゆる機能をクリエイティブに使うことで報奨金を得たりしていた。

Undetectable Threats: Spreading Node.js based Malware with Phishing by Mizuho MORI

Abstract : Detection rate of malware is an eye-catching for Threat actors.
We faces C, C++, .NET, Go, Rust based Malware in the wild.
New wave has come to the scene, Node.js based Malware.
Most of AVs can not detect Node.js based Malware.

They are distributed mainly via Discord.
Discord is used by Gamers, crypto currency users and also platformers.
Threat is closer than ever.
Threat actors are using phishing to spread it.
Malware Authors are selling it as a MaaS(Malware as a Service)

I have analyzed malware samples in the wild, revealed it's functionalities and also did OSINT and HUMINT to reveal threat actors' information.
I also penetrated threat actors' group and revealed its ecosystem including how to build malware and support system.

This talk presents basic of Node.js based Malware, past attack campaigns and how to analyze and defeat them.

Speaker Bio : He works as a cyber threat intelligence analyst.
MITOU Super Creator(2019)

不可視な脅威: フィッシングで広がるNode.js製のマルウェア by 森瑞穂

講演概要:脅威アクターにとってマルウェアの検知率には注意を払う必要がある。
我々、マルウェアアナリストはC, C++, .NET, Go, Rust製のマルウェアには遭遇するかもしれない。
しかし、新たな波がサイバー犯罪シーンへと訪れている。Node.js製のマルウェアだ。
ほとんどのアンチマルウェアはNode.js製のマルウェアは検知することができない。

これらの新たなマルウェア群はコミュニケーションツール、Discordを介して広がっていく。
Discordはゲーマーや暗号資産関連のユーザーやプラットフォーマーに好まれる傾向がある。
そのため脅威は差し迫っているのである。
脅威アクターはフィッシングを使いマルウェアを配布する。
マルウェアの作者はまた、MaaS(Malware as a Service)として販売をしている。

実際に犯罪に使われている検体を入手し解析を行い、機能を明らかにした。
またOSINTやHUMINTにより脅威アクターの情報を収集した。
それ以外にも、脅威アクターグループへと潜入調査を行い、マルウェアのビルドシステムやサポート環境を含むエコシステムを明らかにした。

この講演では、Node.jsマルウェアの基本を紹介し、過去の攻撃キャンペーン、解析手法、解析結果などを紹介する。

講演者紹介:脅威インテリジェンスアナリストを務める。
未踏スーパークリエータ(2019)

Software Development In Another World - The Malware Industry by Yi-Hsien Chen

Abstract : In past research, we usually get acquainted with malware groups from their operations, targets, and techniques. We reverse their works and figure out how they perform on victims' devices. However, we know less about their world, including how they develop and manage malware. In this research, we try to change our viewpoint from the bright side to the dark side and dig into the malware industry. We primarily focus on the technical part, how they develop malware. It includes software design that we can't understand from the malware, like control panels, builders, and decryptors. And the techniques that are based on their business models, like obfuscation approaches and post-modifiable design, are also included.

Many internal data of malware groups have been leaked in the past few years. In 2019, the source code of the notorious banking trojan CARBANAK was disclosed. It included their trojan, builder, and their control panel. In 2022, the source code of one of the largest ransomware groups, Conti, was also revealed. More source codes from other minor malware groups can also be found. These data give us a clue about the malware industry.

Speaker Bio : Yi-Hsien Chen is a Ph.D. candidate in the Department of Electrical Engineering, National Taiwan University, a security researcher of the CyCraft research team. His researches focus on automatic malware analysis techniques. He tries to utilize symbolic execution, machine learning, and several static analysis techniques to enhance malware analysis speed. He has published his works on IEEE DSC and ACM ASIACCS. He was also a speaker of HITB CyberWeek, AIS3, HITCON, and Codeblue. Furthermore, he is a member of the BambooFox CTF team from NCTU, participated in several CTFs, and won 12th, 2nd in DEFCON 26, 27 with BFS, BFKinesiS CTF team.

別の世界のソフトウェア開発 - マルウェア産業 by イーシェン・チェン

講演概要:過去の調査では、通常、マルウェアグループは、その活動、ターゲット、手法から知ることができます。被害者のデバイスでどのように機能するかを把握し、我々はそれらの活動や探索をリバースします。しかし、マルウェアの開発や管理方法など、彼らの世界についてはあまり知られていません。この調査では、視点を明るい面から暗い面に変え、マルウェア業界を掘り下げます。私たちは主に技術的な部分、つまりマルウェアの開発方法に焦点を当てています。これには、コントロール パネル、ビルダー、デクリプターなど、マルウェアからは理解できないソフトウェア設計が含まれます。また、難読化アプローチや変更後の設計など、ビジネスモデルに基づく手法も含まれています。

ここ数年、マルウェアグループから多くの内部データが流出しています。 2019年、悪名高いバンキング型トロイの木馬CARBANAKのソースコードが公開されました。これには、トロイの木馬、ビルダー、およびコントロール パネルが含まれていました。 2022年には、最大のランサムウェア グループの1つであるContiのソースコードも明らかになっています。他のマイナーなマルウェアグループからのソースコードもさらに見つかります。これらのデータは、マルウェア業界についての手がかりを与えてくれます。

講演者紹介:イーシェン・チェンは、国立台湾大学の電気工学科の博士課程に在籍しています。また、CyCraft 研究チームのセキュリティ研究者です。 彼の研究は、自動マルウェア分析技術に焦点を当てています。 彼は、シンボリック実行、機械学習、およびいくつかの静的分析手法を利用して、マルウェアの分析速度を向上させようとしています。 IEEE DSCおよびACM ASIACCSで活動を発表をしました。 また、HITB CyberWeek、AIS3、HITCON、Codeblueのスピーカーの実績もあります。 さらに、彼はNCTUのBambooFox CTFチームのメンバーであり、いくつかのCTFに参加し、BFS、BFKinesiS CTFチームで DEFCON 26、27 で 12 位、2 位を獲得しました。

Telco Hacking Toolbox by Karsten Nohl

Abstract : Telco networks provided plentiful hacking opportunities over the years. We revisit the most pressing security issues that are still open today, and give you the tools to find them.

Security researchers typically focus on the latest mobile network generation. Issues in previous generations are well-documented. But have they been solved?

This talk revisits the biggest holes – in 2G, SIM cards, SS7, and smartphones – that are still open today, and summarizes how they make modern telcos less secure.

We give you a set of open-source tools to test your telco for hacking issues, and invite you to embark on your own telco security journey.

Speaker Bio : Karsten is a cryptographer and security researcher. He likes to test security assumptions in proprietary systems and typically breaks them. Karsten is the Chief Scientist at SRLabs in Berlin and Hong Kong where his work includes testing telcos for hacking issues.

テレコムハッキングツールボックス by カールステン・ノール

講演概要: 通信事業者のネットワークは、何年にもわたってハッキングの機会を豊富に提供してきました。 今日もまだ未解決の最も差し迫ったセキュリティ問題を再確認し、それらを見つけるためのツールを提供します。

セキュリティ研究者は通常、最新のモバイル ネットワーク世代に注目しています。 前の世代の問題は十分に文書化されています。 しかし、それらは解決されましたか?

このトークでは、2G、SIM カード、SS7、およびスマートフォンの最大のセキュリティホールを再確認し、今日でも開いている穴を取り上げ、それらが現代の通信事業者の安全性を低下させていることを説明します。

ハッキングの問題についてテレコ(通信事業者の環境)をテストするための一連のオープンソース ツールを紹介し、あなた自身でテレコムセキュリティの旅に飛び出す手助けをします。

講演者紹介:カールステンは、暗号技術の専門家でありセキュリティ研究者です。 彼はプロプライエタリシステム(規格等がクローズドなシステム)にセキュリティの仮定を立ててテストするのが好きで、多くの場合でそれらを突破してきました。カールステンは、ベルリンと香港にあるSRLabsのチーフサイエンティストであり、テレコ(通信事業者の環境)のハッキング問題のテストを行っています。