Speakers

AVTOKYO2024 Talks : 16th Nov.  2024 

Timetable is here

Hospitals, Airports, and Telcos — Modern Approach to Attributing Hacktivism Attacks by Itay Cohen (@megabeets_

AbstractOn December 12th, millions of Ukrainians trying to connect on Kyivstar's mobile and internet services were met with silence. The outage, it turned out, was no accident, but a carefully planned attack that had been brewing for months. One day later, a message saying “We take full responsibility for the cyber attack on Kyivstar” appeared on social media accounts belonging to a group calling itself ‘Solntsepek’.

The Ukrainian users found themselves an audience of another hacking stunt in the ongoing war that started with the Russian invasion of Ukraine. One month later, pro-Ukraine hacker group “BlackJack” claimed to have breached the Russian internet provider M9com as revenge.

These attacks demonstrate a rising trend where groups, ostensibly state-sponsored yet posing as hacktivists, execute cyber and influence operations against countries worldwide, from Japan to the US, Europe, and the Middle East. This approach provides plausible deniability and an appearance of legitimacy, avoiding the direct implications of government involvement.

But what if the inflation in the trend is its weakest point? We analyzed thousands of public messages from Hacktivist groups and combined classic Cyber threat-intelligence practices with modern Machine Learning and AI models to learn about their motives over time and tie some of these groups together and improve the way we do attribution when it comes to Hacktivism.

Speakers Bio : Itay Cohen (a.k.a. Megabeets) is a research lead at Check Point Research. Itay has vast experience in malware reverse engineering, threat intelligence, and other security-related topics. Itay was selected to the Forbes 30 Under 30 list for 2023 and recognized for his threat research work and activism.

He is the author of a security blog focused on making advanced security topics accessible for free. Itay is a maintainer of the open-source reverse engineering frameworks Rizin and Cutter. He is a social and political activist, with a focus on animal rights.


病院、空港、通信会社 — ハクティビズム攻撃のアトリビューションに関する最新のアプローチ by イタリー・コーエン (@megabeets_)

講演概要12月12日、キエフスターのモバイルおよびインターネットサービスに接続しようとした何百万人ものウクライナ人は沈黙した。結局、この障害は事故ではなく、数か月前から準備されていた綿密に計画された攻撃だった。翌日、「キエフスターへのサイバー攻撃の全責任は我々にある」というメッセージが、「‘Solntsepek(ソルンツェペク))」と名乗るグループのソーシャルメディアアカウントに表示された。
ウクライナのユーザーは、ロシアのウクライナ侵攻で始まった進行中の戦争で、新たなハッキング行為の観客となった。1か月後、親ウクライナのハッカーグループ「BlackJack(ブラックジャック)」は、報復としてロシアのインターネットプロバイダーM9comに侵入したと主張した。
これらの攻撃は、表向きはハクティビストを装いながらも、実際には国家の支援を受けたグループが世界中の国々(日本、米国、ヨーロッパ、中東など)に対してサイバーおよび影響力を行使するという増加傾向を示しています。このアプローチは、政府の関与を直接示すことなく、もっともらしい否認性と正当性の外観を提供します。
しかし、この傾向が高まること自体が、実は最大の弱点ではないでしょうか?私たちは、ハクティビストグループによる数千件の公開メッセージを分析し、従来のサイバー脅威インテリジェンスの手法と最新の機械学習・AIモデルを組み合わせることで、彼らの動機を時間とともに明らかにし、いくつかのグループを結びつけ、ハクティビズムにおける帰属の方法を改善しています。

講演者紹介Itay Cohen (別名 Megabeets) は、Check Point Research の研究リーダ。Itay は、マルウェアのリバース エンジニアリング、脅威インテリジェンス、その他のセキュリティ関連のトピックで豊富な経験を持つ。 Itay は、2023 年の Forbes 30 Under 30 リストに選ばれ、脅威研究の取り組みと活動が評価された。
彼は高度なセキュリティ トピックを無料で利用できるようにすることに焦点を当てたセキュリティ ブログの著者。Itay は、オープンソースのリバース エンジニアリング フレームワーク Rizin と Cutter のメンテナー。動物の権利に焦点を当てた社会的および政治的活動家。


BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents by Isao Takaesu (@bbr_bbq) /Daiki Ichinose (@mahoyaya)  

Abstract : As cyberattacks become more advanced and complex, the need for efficient and comprehensive penetration testing is increasing. In this presentation, we propose an automated penetration testing approach using Microsoft's autonomous AI agent framework, ""AutoGen"", and demonstrate our tool, BLADE (Breaking Limits, Automate Deep Exploitation), as an implementation example.

AutoGen is a framework that autonomously executes complex tasks based on large-scale language model (LLM). It automatically generates and executes action plans to achieve goals set by humans. In addition to leveraging LLM knowledge, AutoGen can flexibly utilize external tools (such as APIs, web searches, and pre-configured Python code) and dynamically generate Python codes and scripts.

In our demonstration, BLADE will use pre-configured penetration testing tools such as ""LinPEAS"" and ""John the Ripper"" to achieve goals like privilege escalation and other system intrusion on a target system.

This presentation will demonstrate the effectiveness of our approach, showcasing how autonomous AI agents can significantly enhance the efficiency of penetration testing. BLADE will be scheduled to be released as open-source software (OSS) after this presentation.

Speaker Bio :  Isao Takaesu (@bbr_bbq)    He is senior engineer in MBSD, involved in research related to the detection of vulnerabilities in Machine Learning (ML) systems and developing cybersecurity products. He has presented his research at hacker conferences such as Black Hat Arsenal, DEFCON DemoLabs and CODE BLUE. In recent years, he has made contributions to education as an instructor at security camps.

Speaker Bio :  Daiki Ichinose (@mahoyaya)   He is an engineer and pentester in MBSD.
He has over 15 years of work experience, and he uses his know-how to give talks at conferences such as Bsides Tokyo (2018, 2019), JAWS Days 2019, and many others. He enjoys finding vulnerabilities and loves Perl.


BLADE:自律AIエージェントを活用したペネトレーションテスト自動化の試み by 高江洲 勲 (@bbr_bbq) / 一ノ瀬 太樹 (@mahoyaya)

講演概要:サイバー攻撃の高度化・複雑化に伴い、効率的で包括的なペネトレーションテストの重要性が高まっている。本発表では、Microsoftの自律AIエージェント・フレームワーク「AutoGen」を活用したペネトレーションテストの自動化手法を提案し、その実装例である自作ツール「BLADE(Breaking Limits, Automate Deep Exploitation)」のデモを行う。

AutoGenは大規模言語モデル(LLM)を基盤とし、複雑なタスクを自律的に実行するフレームワークで、人間が与えた目標を達成するための行動計画を自動生成し実行する。AutoGenは、LLMの知識に加え、外部ツール(API、Web検索、事前に与えられたPythonコード等)や自ら生成したPythonコード・スクリプトを駆使することで柔軟に対応することができる。

デモでは、BLADEにあらかじめLinPEASやJohn the Ripper等のツールを用いるコードと、デモ対象システム上での権限昇格や他システムへの侵入試行等の目標が設定されていることを前提に、これらのペネトレーションテストを自律的に実行する様子を紹介する。

これにより、提案手法の有効性を示し、自律AIエージェントがペネトレーションテストの効率化に大きく貢献することを強調する。また、BLADEは本発表後にOSSとして公開予定である。


講演者紹介:高江洲 勲 (@bbr_bbq  三井物産セキュアディレクションに所属するシニア・エンジニア。
セキュリティ・プロダクトの立ち上げや研究開発をメイン業務にしており、研究開発では機械学習アルゴリズムの脆弱性に関する調査や、機械学習を用いたセキュリティタスク自動化に取り組んでいる。研究成果はBlack Hat Arsenal(ASIA, USA, EURO)やDEFCON(DemoLabs, AI Village)、CODE BLUE、BSides(Singapore, Tokyo)等で発表している。近年はセキュリティ・キャンプにおいて、AIセキュリティ関連講義の講師やプロデューサーを務める等、AIセキュリティ人材の育成にも力を入れている。

講演者紹介 :一ノ瀬 太樹 (@mahoyaya)   三井物産セキュアディレクションに所属するエンジニア, ペンテスター。
15年以上の実務経験を持ち、そのノウハウを生かしてBsides Tokyo(2018, 2019)やJAWS Days 2019、およびその他多数のカンファレンスで講演している。脆弱性の発見を楽しみ、Perlを愛している。


Bring Your Own Container: When Containers Turn the Key to EDR Bypass  by Taichi Kotake

Abstract : EDR cannot monitor activities inside containers.
In this talk, I demonstrated a technique for creating Docker  containers that mount host directories or contain host-side data, and then taking this information to a C2 server without being detected by EDR.
I have named this technique “BYOC” (Bring Your Own Container), and  propose it as a new method for evading EDR by abusing containers.

Speaker Bio : He is also known as tkmru, is the Co-Founder & CTO of Sterra Security Co.,Ltd.
He is also a security engineer at Akatsuki Games Inc where he provides security testing for web application and mobile games, as well as penetration testing for internal networks.
His favorite animal is the otter. His favorite vulnerability is alcohol injection.

Bring Your Own Container: When Containers Turn the Key to EDR Bypass  by 小竹 泰一

講演概要EDRは、コンテナ内部での活動を監視できていません。
本講演では、ホストのディレクトリをマウントあるいは、ホスト側のデータを内包したDockerコンテナを作成し、EDRに検知されずに、C2サーバへ情報を持ち出す技術を実証しました。
この技術をBYOC(Bring Your Own Container)と名付け、コンテナの悪用によるEDR回避の新たな手法を提案します。

講演者紹介株式会社アカツキゲームスでしがない会社員をしながら、株式会社ステラセキュリティでは取締役CTOを務める。
主な著書に「ポートスキャナ自作ではじめるペネトレーションテスト —Linux環境で学ぶ攻撃者の思考(オライリー・ジャパン)」、「マスタリングGhidra
—基礎から学ぶリバースエンジニアリング完全マニュアル(オライリージャパン)」、「リバースエンジニアリングツールGhidra実践ガイド(マイナビ出版)」、「WEB+DB PRESS Vol.118 特集3 ツールで簡単! はじめての脆弱性調査(技術評論社)」がある。
物理セキュリティの一環として筋トレにも精力的に取り組む。好きな動物はカワウソ。好きな脆弱性はアルコールインジェクション。


Mozilla Firefox 0-day: Browser Side-Channel Attack to Leak Installed Applications  by Satoki Tsuji 

AbstractThis presentation focuses on a 0-day vulnerability in Mozilla Firefox, which is a browser side-channel attack leveraging the URL protocol handler. The attack exploits subtle behavioral differences in how the browser handles URL protocol requests, using them as an oracle to identify applications installed in the target's machine. Several CVE numbers have been assigned to this vulnerability, and we will delve into how I discovered and attacked the bug, addressing the privacy and security risks posed by the URL protocol handler leaks. This talk is aimed at security researchers and developers interested in attacks against modern web browsers.
Note: This vulnerability was patched as of November 16, 2024.

Speaker Bio : Cybersecurity Enthusiast, CTF Player and Bug Hunter. Contributed to the organization of SECCON CTF, took the stage at AVTOKYO2020/2023, and competed in the DEF CON CTF Finals. Renowned for uncovering and reporting vulnerabilities in web services and softwares including Google and Firefox.

Mozilla Firefox 0-day:ブラウザサイドチャネルによるインストールアプリケーション特定攻撃 by 辻 知希

講演概要Mozilla Firefoxの0-day脆弱性である、URLプロトコルハンドラを利用したブラウザサイドチャネル攻撃を扱います。本攻撃では、ブラウザがURLプロトコルハンドラを処理する際の微細な挙動差をオラクル(情報源)として利用し、ターゲットユーザの環境にインストールされているアプリケーションの特定を可能とします。本脆弱性に対しては新たに複数のCVE番号が払い出されており、URLプロトコルハンドラが漏洩した場合のプライバシー/セキュリティリスクから、発見の経緯と攻撃のメカニズムについても深掘りします。本発表は、Webブラウザ環境における攻撃手法に関心を持つセキュリティ研究者や開発者を対象としています。
※本脆弱性は2024年11月16日時点で修正されています。

講演者紹介Webアプリケーションつんつん職人。CTFプレイヤー、バグハンターとして活動。SECCON CTFの運営メンバ、AVTOKYO2020および2023の登壇、DEF CON CTF Finalsへ出場。GoogleやFirefoxを含む多数のWebサイトやソフトウェアの脆弱性を発見し報告している。


Ideas for defeating Anti-DeepFakes - Prepare for the next cyber threat.  by Ren Kimura (@RKX1209)

Abstract : Deepfakes refer to techniques that manipulate parts of real video, audio, or images to incorporate false information, deceiving others by making them appear authentic. Since this foundational technology emerged in 2014, it has been exploited in various threat scenarios, such as fabricating statements by prominent figures or altering news content to influence politics and economics, as well as impersonating legitimate users to bypass biometric authentication.
In response to these threats, industry-standard countermeasures are swiftly advancing. This includes technologies to detect traces of deepfake manipulation and the C2PA (Coalition for Content Provenance and Authenticity) framework to verify the authenticity of original content. Unfortunately, however, these countermeasures are not a silver bullet. This presentation will introduce additional threat techniques, such as compromising recording devices like smartphones or using social engineering to intervene in the authenticity verification chain, underscoring the need for multi-layered defense across people, technology, and organizations.

Speaker Bio : Ren Kimura is a Founder and CEO of Ricerca Security, Inc. He had been working on vulnerability research in the United States. After returning to Japan he started Ricerca Security, Inc. and his fuzzing platform had been accepted by defense organizations. Currently, he is also working as a PdM (Product Manager) proposing new products from both Red and Blue-team perspectives.

ディープフェイク対策の脆弱点 - 来るべき脅威に備えて  by 木村 廉 (@RKX1209)

講演概要ディープフェイクとは、現実の映像や音声、画像の一部を加工して偽の情報を組み込み、あたかも本物のように見せかけて相手をだます方法の総称です。礎となる技術が2014年に登場して以来、要人の発言やニュースの内容を捏造して政治、経済への工作を行ったり、正規ユーザーになりまして生体認証を回避したりするなど、さまざまな脅威シナリオの実行に悪用されています。このような脅威に対抗するため、ディープフェイク用に加工された痕跡を発見する技術や、元のコンテンツの真正証明を行うC2PA:Coalition for Content Provenance and Authenticityといった業界標準仕様が急ピッチで整備されています。
しかし残念ながらこれらの対抗策は銀の弾丸ではありません。本講演ではスマートフォンなどの収録デバイス自体を侵害したり、ソーシャルエンジニアリングを用いて真正証明のチェーンに介入するなどの脅威テクニックを紹介し、人、技術、組織といった様々な観点で多層的な防御を行う必要があることを示します。

講演者紹介株式会社リチェルカセキュリティ創業者兼CEO。学生時代、米国で脆弱性研究に従事した経験を元に、帰国後リチェルカセキュリティを起業。創業後、自身が手がけてきたファジングシステムが防衛機関に採択される。
現在はPdM (Product Manager)として、お客様の課題を発見、整理しRed・Blue双方の観点から新規事業の提案も行っている。

Going down the RAT hole: Deep dive into the Vuln-derland of APT-class RAT Tools  by Akitoshi  Takezaki (@z4ck_key) / Ryo Minakawa (@strinsert1Na)

Abstract : Post-exploitation tools are often available as open-source software and are widely used by threat actors. On the other hand, many APT (Advanced Persistent Threat) groups still rely on self-developed post-exploitation tools for their operations.  The inner workings of their tools often remain a black box. While security analysts collect samples from compromised endpoints and attempt to uncover the mechanism, it is particularly challenging to understand all of the capabilities due to its modularity.

Despite this, various factors have provided more insight into these black boxes.  By taking advantage of OPSEC failures within APT groups and information disclosed in the i-Soon Leak, security analysts can now move beyond basic Remote Access Tool (RAT) implant analysis and dive deeper into more comprehensive investigations. Based on publicly available information, we have collected RATs used by APTs and conducted in-depth analyses of their server-side components, specifically the listeners and builders. Through this approach, we've gained several new insights into the operational capability, usability, reusability, and even vulnerability of the tools that are typically difficult to glean from conventional RAT implant analysis.

In this presentation, we will explain the realities of RATs used by nation-state APTs based on our findings from listener and builder analysis. Additionally, we will highlight unique fingerprints and vulnerabilities identified within a specific RAT infrastructure.


Speaker Bio : Akitoshi Takezaki:
A member of the NA4Sec team at NTT Communications Corporation, and he performs threat intelligence analysis. Recently, He is interested in OSINT.

Speaker Bio : Ryo Minakawa:
Ryo Minakawa is an APT researcher focusing on targets in East Asia at NFLaboratories, Inc. His substitute works part-time once a week for the Threat Intelligence Team, NA4Sec, at NTT Communications.


Going down the RAT hole: Deep dive into the Vuln-derland of APT-class RAT Tools  by 竹﨑彬隼 (@z4ck_key) / 皆川諒 (@strinsert1Na)

 講演概要現在、数多の Post Exploitation Tool が OSS として公開され様々な攻撃者グループに使用されていますが、その一方で独自に開発した Post Exploitation Tool をオペレーションに使用するAPTグループは数多く存在します。彼らが開発したツールの多くはその実態がブラックボックスであり、アナリストは侵害されたエンドポイント端末から発見される痕跡をもとにツールの機能を明らかにしようとしますが、モジュール型のツールでは全体像を把握することが極めて困難です。

しかしながら、様々な要因からそのブラックボックスの詳細が少しずつ明らかになってきました。直近の APT グループの OPSEC failure や i-Soon Leak の情報を活用することで、アナリストは単なる RAT(Remote Access Tool)のインプラント解析から一歩踏み込んだ調査が可能となります。我々は公開情報をもとにAPTが利用する RAT を入手し、そのリスナー(サーバ)側およびビルダー側の分析を行ってきました。このアプローチは、従来の RAT インプラント解析では得られないツールの機能、操作性、再利用性、そして脆弱性の発見に関する様々な洞察を得ることができます。

本講演では、リスナー/ビルダー分析から得られた国家APTが利用する RAT の実態と、とあるRATインフラに現れる固有のフィンガープリントや脆弱性について明らかにします。

 
講演者紹介竹﨑 彬隼 : NTTコミュニケーションズ株式会社にて、NA4Secプロジェクトのメンバーとして活動しており、主に脅威インテリジェンスの分析業務に従事している。最近の興味分野はOSINT。

講演者紹介皆川 諒: 株式会社エヌ・エフ・ラボラトリーズで東アジア関連のAPTを調査しているリサーチャー。彼の身代わりが NTT コミュニケーションズの脅威インテリジェンスチーム NA4Sec で週一バイトしているらしい。


Attack Surface Analysis on Satellite - Abuse Vulnerable Low Earth Orbit Satellite (LEO) to Take Over Your Cyber-Physical System by Sheng-Hao Ma (@aaaddress1)

Abstract : In times of critical public infrastructure or industrial control, there are many practical problems that make it difficult to use physical networks, such as the high cost of owning a physical ethernet on sparsely populated wind power stations, the impossibility of shipping and air transport, or the requirements for positioning and network access on high-speed railways, making these industries turn to low-orbit satellites as a solution: the benefits of cheap networks and wide coverage have led to their massive adoption.

A complete commercial satellite network involves a three-way communications infrastructure - ground-based ISP stations, low-orbit satellites, and radio frequency devices used to send/receive SATCOM traffic. However, after tracking the most popular products in today's industrial control market, we found that all the communication devices used in today's large infrastructures are exposed to multiple security risks due to design or physical limitations of radio frequency on both sides!

In this session, we will focus on the difficult-to-repair threat of the mentioned triple-tapped equipment that has already been exploited and analyze the potential abuse by attackers due to the intractable security concerns of the products and the physical nature of the bands used in various critical facilities. At the same time, we categorize these attack vectors and develop an LEO Kill Chain threat model - our research will include typical LEO protocols and equipment, Starlink equipment implementation issues, and space RF jamming attacks.

Also, we chain together the attack vectors from a $100 device that is able to tap and hijack a connection, to a $10,000 device that can fully arm a plant control system or even obtain RCE and various critical facilities. At the same time, we categorize these attack vectors and develop an LEO Kill Chain threat model - our research will include typical LEO protocols and equipment, Starlink or other related equipment implementation issues, and space RF jamming attacks. Finally, we will provide an ICS defense strategy for the Satellite network, which will help the blue team to see through the lens and sense early to prevent any LEO attacks.

Speaker Bio : Sheng-Hao Ma (@aaaddress1) is a team lead of TXOne Networks PSIRT and threat research team, responsible for coordinating product security and threat research. With over 15 years of expertise in reverse engineering, symbolic execution, malware analysis, and machine-learning, he is also part of CHROOT, a cybersecurity community in Taiwan. As a frequent speaker, trainer, and instructor, Sheng-Hao has contributed to numerous international conferences and organizations, including Black Hat USA, DEFCON, CODE BLUE, S4, SECTOR, HITB, VXCON, HITCON, and ROOTCON, as well as the Ministry of National Defense and the Ministry of Education. He is the author of "Windows APT Warfare: The Definitive Guide for Malware Researchers," a well-regarded cybersecurity book about reverse engineering of Windows.


衛星のアタックサーフェスの分析 -  脆弱な低軌道衛星 (LEO) を悪用してサイバーフィジカルシステムを掌握する by シェンハオ・マー (@aaaddress1)

 講演概要公共インフラや産業制御が重要となる場面では、人口の少ない風力発電所で物理イーサネットを所有するコストが高いこと、船舶や航空輸送が不可能であること、高速鉄道で測位やネットワーク アクセスが必須であることなど、物理ネットワークの使用を困難にする実際的な問題が数多くあります。こうした業界では解決策として、安価なネットワークと広範なカバレッジという利点から、低軌道衛星(LEO)が大規模に採用されています。
完全な商用衛星ネットワークには、地上の ISP ステーション、低軌道衛星、および SATCOM トラフィックの送受信に使用される無線周波数デバイスという 3 方向の通信インフラストラクチャが含まれます。ただし、今日の産業用制御市場で最も人気のある製品を追跡した結果、今日の大規模インフラストラクチャで使用されているすべての通信デバイスは、両側の無線周波数の設計または物理的制限により、複数のセキュリティ リスクにさらされていることがわかりました。
このセッションでは、すでに悪用されている前述の3種類の機器の修復が困難な脅威に焦点を当て、製品の手に負えないセキュリティ上の懸念と、さまざまな重要な施設で使用されるバンドの物理的性質による攻撃者による潜在的な悪用を分析します。同時に、これらの攻撃ベクトルを分類し、LEO キル チェーンの脅威モデルを開発します。私たちの調査には、一般的な LEO プロトコルと機器、Starlink 機器の実装の問題、および宇宙 RF 妨害攻撃が含まれます。
また、接続を盗聴して乗っ取ることができる 100 ドルのデバイスから、プラント制御システムを完全に武装したり、RCE やさまざまな重要な施設を取得したりできる 10,000 ドルのデバイスまで、攻撃ベクトルを紹介します。同時に、これらの攻撃ベクトルを分類し、LEO キル チェーン脅威モデルを開発します。私たちの研究には、一般的な LEO プロトコルと機器、Starlink またはその他の関連機器の実装の問題、および宇宙 RF 妨害攻撃が含まれます。最後に、衛星ネットワークの ICS 防御戦略を提供します。これは、ブルー チームがLEO 攻撃を早期に感知して防止するのに役立ちます。


講演者紹介:Sheng-Hao Ma (@aaaddress1) は、TXOne Networks PSIRT および脅威調査チームのチームリーダーであり、製品セキュリティと脅威調査の調整を担当しています。リバースエンジニアリング、シンボリック実行、マルウェア分析、機械学習の分野で 15 年以上の経験を持つ彼は、台湾のサイバーセキュリティ コミュニティである CHROOT のメンバーでもあります。頻繁に講演、トレーナー、インストラクターを務める Sheng-Hao は、Black Hat USA、DEFCON、CODE BLUE、S4、SECTOR、HITB、VXCON、HITCON、ROOTCON、国防部、教育部など、数多くの国際会議や組織に貢献してきました。彼は、Windows のリバースエンジニアリングに関するサイバーセキュリティに関する定評のある書籍「Windows APT Warfare: The Definitive Guide for Malware Researchers」の著者です。

Special hack "TORANOMAKI " by MISTER K

Abstract : Related talk about WiFi hack...

Speaker BioMISTER K


Special hack "虎の巻 " by MISTER K

 講演概要WiFiのあの話

講演者紹介MISTER K

Defending Active Directory Against OPSEC Actions with Enhanced Detection by Mars Cheng

Abstract : Until today, Microsoft’s on-prem Active Directory (AD) and Microsoft Entra ID are still the dominant IAM (Identity and Access Management) solutions for enterprises around the globe. Over the years, these IAM services have gradually become the primary security focus for attackers and defenders as compromise can give attack control over an entire enterprise’s network. As a tier-1 asset, it is well aware by the blue with several mechanisms to monitor and hunt the attack operations. On the other hand, attackers can take various types of OSPEC considerations to evade detection by the blue team. However, this is still not the end of the world. The blue team still has the detection chance even after OPSEC is considered. This talk will discuss various abuse techniques first for on-prem Active Directory and Microsoft Entra ID by using attack paths to highlight the linear impact they can bring. Then, we will discuss the Operation Security (OPSEC) methodology and how to evade blue team monitoring to succeed in the operation. Finally, we propose the overall detection concept and actual practices for defending abuse techniques and OPSEC action. This can help the blue team implement the most comprehensive detection and would not be evaded.

Speaker BioMars Cheng (@marscheng_) leads TXOne Networks' PSIRT and Threat Research Team as Threat Research Manager, coordinating product security initiatives and threat research efforts. He is also the Executive Director for the Association of Hackers in Taiwan (HIT/HITCON) and General Coordinator of HITCON CISO Summit 2024, facilitating collaboration between enterprises and the government to bolster the cybersecurity landscape. Mars is a frequent speaker and trainer at numerous prestigious international cybersecurity conferences and has presented over 50 times, including Black Hat USA/Europe/MEA, RSA Conference, DEF CON, CODE BLUE, FIRST, HITB, HITCON, Troopers, NOHAT, SecTor, SINCON, ROOTCON, ICS Cyber Security Conference Asia and USA, CYBERSEC, CLOUDSEC, VXCON, and many others. His expertise spans ICS/SCADA systems, malware analysis, threat intelligence and hunting, and enterprise security. Mars has made significant contributions to the cybersecurity community, including authoring more than ten CVE-IDs and publishing in three SCI journals on applied cryptography. Mars has successfully organized several past HITCON events, including HITCON CISO Summit 2023, HITCON PEACE 2022, HITCON 2021, and HITCON 2020.


強化された検出機能によるOPSEC アクションからのActive Directoryの防御 by マーズ・チェン

 講演概要今日まで、マイクロソフトのオンプレミス Active Directory (AD) と Microsoft Entra ID は、世界中の企業にとって依然として主要な IAM (アイデンティティおよびアクセス管理) ソリューションです。長年にわたり、これらの IAM サービスは、侵害によって攻撃者が企業ネットワーク全体を制御できるようになるため、攻撃者と防御者にとって徐々に主要なセキュリティ フォーカスになってきました。Tier 1 資産として、ブルー チームには攻撃操作を監視および追跡するためのいくつかのメカニズムがあり、十分に認識されています。一方、攻撃者はさまざまなタイプの OSPEC を考慮して、ブルー チームによる検出を回避できます。ただし、これはまだ世界の終わりではありません。OPSEC を考慮した後でも、ブルー チームはまだ検出される可能性があります。この講演では、まず、オンプレミス Active Directory と Microsoft Entra ID のさまざまな悪用手法について、攻撃パスを使用してそれらがもたらす可能性のある線形の影響を強調しながら説明します。次に、Operation Security (OPSEC) 方法論と、ブルー チームの監視を回避して操作を成功させる方法について説明します。最後に、悪用手法と OPSEC アクションを防御するための全体的な検出コンセプトと実際の実践方法を提案します。これにより、ブルー チームは最も包括的な検出を実装でき、回避されなくなります。

講演者紹介Mars Cheng  (@marscheng_) は、脅威調査マネージャーとして TXOne Networks の PSIRT および脅威調査チームを率い、製品セキュリティの取り組みと脅威調査の取り組みを調整しています。また、台湾ハッカー協会 (HIT/HITCON) の事務局長、HITCON CISO サミット 2024 のゼネラルコーディネーターも務めており、企業と政府の連携を促進してサイバーセキュリティ環境を強化しています。Mars は、数多くの権威ある国際サイバーセキュリティ会議で頻繁に講演やトレーナーを務めており、Black Hat USA/Europe/MEA、RSA Conference、DEF CON、CODE BLUE、FIRST、HITB、HITCON、Troopers、NOHAT、SecTor、SINCON、ROOTCON、ICS Cyber​​ Security Conference Asia and USA、CYBERSEC、CLOUDSEC、VXCON など、50 回以上講演しています。彼の専門知識は、ICS/SCADA システム、マルウェア分析、脅威インテリジェンスとハンティング、エンタープライズセキュリティにわたります。 Mars は、10 を超える CVE-ID の作成や、応用暗号に関する 3 つの SCI ジャーナルへの掲載など、サイバーセキュリティ コミュニティに多大な貢献をしてきました。Mars は、HITCON CISO Summit 2023、HITCON PEACE 2022、HITCON 2021、HITCON 2020 など、過去にいくつかの HITCON イベントを成功裏に開催してきました。