9:00 am - 9:10 am
JST
12:00 am - 12:10 am UTC | Live Online Welcome & Opening Remarks |
9:10 am - 9:55 am
JST
12:10 am - 12:55 am UTC | Live Online Keynote
Show More
|
9:55 am - 10:30 am
JST
12:55 am - 1:30 am UTC | Live Online Navigating the Maze: Extracting and Analyzing Forensic Artifacts in Containerized Environments As organizations increasingly adopt containerization technologies like Docker and Kubernetes to streamline application deployment, the forensic landscape is evolving rapidly. Containerized environments present unique challenges for digital forensic investigators due to their ephemeral nature, complex networking setups, and distributed architecture. This presentation aims to shed light on the intricacies of conducting forensic investigations in containerized environments and provide practical strategies for extracting and analyzing forensic artifacts. 題名:迷路のナビゲーション:コンテナ環境におけるフォレンジックアーティファクトの抽出と分析 概要: DockerやKubernetesのようなコンテナ化技術を採用し、アプリケーションのデプロイを効率化する組織が増えるにつれ、フォレンジックのランドスケープは急速に進化しています。コンテナ化された環境は、一過性の仕様や複雑なネットワーク設定、そして分散アーキテクチャなどの要因により、デジタルフォレンジックにこれまでとは異なる課題をもたらします。 このプレゼンテーションでは、コンテナ化された環境でフォレンジック調査を実施することの複雑さに焦点を当て、フォレンジックアーティファクトを抽出して分析するための実践的な戦略を提供します。
Show More
|
10:30 am - 10:40 am
JST
1:30 am - 1:40 am UTC | Live Online Break |
10:40 am - 11:15 am
JST
1:40 am - 2:15 am UTC | Live Online The rise and rise of Advanced eCrime Threat - Incident Response edition The cybersecurity industry has traditionally used the term Advanced Persistent Threats (APTs) to describe the highest level of threats from nation-states, known by their sophisticated and relentless attacks against organisations. eCrime threats were viewed as only opportunistic and less. However, in recent months, certain eCrime groups have started targeting large organisations with remarkable speed and aggression, employing advanced and lesser-known tactics to reap substantial financial gains. These groups have significantly advanced their techniques, remaining hidden until the last moment and engaging in knife fights with defenders when necessary. In this talk, I'll delve into the tactics, techniques, and procedures (TTPs) that these eCrime threat actors are employing, and discuss strategies for detecting, defending against, and responding to them. This talk is a fast-paced exploration of the evolving landscape of advanced eCrime threats and how defenders can stand their ground when the heat is on. Through this talk, we will use the knowledge of actual attacks that have devastated large organisations to learn from these events to talk through ways of performing effective incident response. 題名: 高度なサイバー犯罪の台頭と増加:インシデントレスポンス編 概要: サイバーセキュリティ業界では従来、長期にわたり持続的に、組織に対する洗練された執拗な国家レベルの脅威を表すために、APT(Advanced Persistent Threats)という用語を使用してきました。しかし、ここ数カ月で、特定のサイバー犯罪グループが、驚くべきスピードと攻撃性で大規模な組織を標的にし、高度であまり知られていない手口を用いて、多額の金銭的利益を得るようになりました。これらのグループは、最後の瞬間まで身を隠し、必要に応じて防御側と戦うなど、その技術を大幅に進化させています。
このプレゼンテーションでは、このようなサイバー犯罪の脅威アクターが悪用している戦術、技術、手順(TTP)について掘り下げ、これらの脅威を検知、防御、対応するための戦略について説明します。進化を続ける高度なサイバー犯罪の脅威の状況と、その脅威にさらされたときに防御側がどのように立ち向かえばよいかを、テンポよく解説します。
このプレゼンテーションを通じて、大規模な組織に壊滅的な打撃を与えた実際の攻撃から得られた知見をもとにし、効果的なインシデント対応を行う方法についてお話しします。
Show More
|
11:15 am - 11:50 am
JST
2:15 am - 2:50 am UTC | Live Online Cracks in the fireWALL: what happens when vulnerabilities like CVE-2024-3400 impact your network perimeter Firewalls, whether you love them or hate them, play a vital role in securing organisations and provide crucial data points for an incident responder. This presentation will explore what happens when firewalls turn against us; when vulnerabilities such as CVE-2024-3400 expose the precious endpoints behind said firewalls, threatening an organisations crown jewels. 題名:ファイヤーウォールの亀裂:CVE-2024-3400のような脆弱性がネットワーク境界防御におよぼす影響 概要: ファイアウォールは、好き嫌いによらず、組織の安全確保において重要な役割を果たし、インシデントハンドリングの際には極めて重要なデータポイントを提供します。 CVE-2024-3400のような脆弱性が露呈すると、ファイアウォールによって防御されているはずのエンドポイントへのアクセスを許し、組織の資産が脅かされる恐れがあります。
Show More
|
11:50 am - 12:35 pm
JST
2:50 am - 3:35 am UTC | Live Online Lunch Break |
12:35 pm - 1:10 pm
JST
3:35 am - 4:10 am UTC | Live Online Electron Apps Unplugged: Unveiling Digital Forensic Treasures This talk deep dives into what electron apps are, the troubles faced with electron apps, their files structures and unconventional ways of extracting data for digital investigations from the most popular electron apps used today. 題名:Electronアプリの分析:デジタルフォレンジックの秘宝を公開 概要: この講演では、Electronアプリとは何かという説明からはじまり、Electronアプリが直面する問題やそのファイルの構造、デジタルフォレンジックにおいてデータを抽出するための従来とは異なる方法などについて、現在広く使われるようになってきたElectronアプリについて掘り下げて説明します。
Show More
|
1:10 pm - 1:45 pm
JST
4:10 am - 4:45 am UTC | Live Online United We Stand: A deep dive into DFIR cases with the security analyst empowered by Generative AI Shih-Min Chan, Detection & Response Team Leader and Senior Analyst, CyCraft Technology In the rapidly evolving landscape of cybersecurity, leveraging various generative AI (GenAI) tools is becoming crucial. In this talk, we will focus on the integration of GenAI tools—specifically, self-tuned LLM, command-line embedding, multimodal models, and NL2SQL—with cybersecurity analysis, highlighting how this collaboration can significantly boost performance in incident response.A real-world attack case will be presented to the audience. Through this case, we will explain how these GenAI tools were employed at different stages of the DFIR process to assist cybersecurity experts. Finally, we will showcase all the open-sourced models that were used in this project. Attendees of this talk can take the essential GenAI knowledge in DFIR home and build their own solutions! 題名:生成AIを活用したセキュリティアナリストによるDFIR事例の深掘り 概要: 急速に進化するサイバーセキュリティの分野においても、様々な生成AIツールの活用が重要になってきています。この講演では、生成AIツール、特にセルフチューニングLLM、コマンドラインエンベディング、マルチモーダルモデル、NL2SQLなどを、サイバーセキュリティに関する分析に統合することに焦点を当て、この活用がインシデントレスポンスの大幅な効率化に繋がることをご紹介します。 実際の攻撃事例を通して、これらの生成AIツールがセキュリティの専門家を支援するために、DFIRプロセスの様々な段階でどのように採用されたかを説明します。最後に、このプロジェクトで使用された全てのオープンソースモデルを紹介します。このプレゼンテーションの参加者は、DFIRにおける本質的な生成AIのノウハウを持ち帰り、独自のソリューションを構築することができるようになるでしょう。
Show More
|
1:45 pm - 2:20 pm
JST
4:45 am - 5:20 am UTC | Live Online TBD Yee Ching Tok, Senior Consultant and Research Fellow, JT Consultancy & Management Pte. Ltd. | ASSET
Show More
|
2:20 pm - 2:30 pm
JST
5:20 am - 5:30 am UTC | Live Online Break
Show More
|
2:30 pm - 3:05 pm
JST
5:30 am - 6:05 am UTC | Live Online An Overview of the SANS Five ICS Cybersecurity Critical Controls and focus on Control Number 1 - ICS-Specific Incident Response Plan Bruce Large, Principal OT Cyber Security Architect & Chief Evangelist , Secolve In this presentation Bruce will provide an overview of the SANS Five ICS Cybersecurity Critical Controls and focus on Control Number 1 - ICS-Specific Incident Response Plan. The session will start with a brief overview of Operational Technology and Industrial Control Systems and then contrast the nuance of ICS Incident Response and general cyber security incident response. The session will discuss key concepts from SANS ICS515 and other SANS ICS materials regarding Active Defense and Incident Response. The session will end by sharing information for students wanting to learn more about OT Cyber Security. 題名: SANS Five ICS Cybersecurity Critical Controlsの概要とICS特有のインシデントレスポンスプラン(管理策1) 概要:このプレゼンテーションでは、「SANS Five ICS Cybersecurity Critical Controls」の概要を説明し、そn管理策1番である「ICS-Specific Incident Response Plan」についてご紹介します。OTと産業用制御システム(ICS)の概要を説明し、ICSインシデントレスポンスと一般的なサイバーセキュリティインシデントレスポンスとの違いについてご紹介します。また、SANS ICS515およびその他のSANSのICS資料から、アクティブディフェンスとインシデントレスポンスに関して、重要な概念についてご説明します。最後に、OTサイバーセキュリティについてさらに学びたい方のために役立つ情報を共有します。
Show More
|
3:05 pm - 3:40 pm
JST
6:05 am - 6:40 am UTC | Live Online Breaking through Vanguard of Supply Chain Alian Wang, Detection & Response Analyst, CyCraft Technology Corp Steven Chen, Senior Detection & Response Analyst, CyCraft Technology Many enterprises rely on external vendors for system maintenance, which presents potential security risks. Hackers often target smaller enterprises with weaker defenses to infiltrate larger enterprises through supply chain attacks, known as island hopping attacks. In this case, hackers obtained VPN credentials via the dark web and accessed a large enterprise’s file server through a small enterprise. They used WinRM and Cobalt Strike SMB Beacon to inject into legitimate software for lateral movement and attempted to disrupt EDR monitoring. The EDR also analyzed tools on hacker’s host machine used for the attack, including ProcessHacker, RivaTuner Statistics Server, process explorer, and vulnerable drivers like those from Zemana antivirus software and MSI Afterburner overclocking tools. This presentation will focus on often overlooked security aspects in enterprises, including reassessment and reconfiguration of network architecture during mergers, management of external exposure, misuse of legitimate tools, and measures to prevent EDR monitoring from being blinded. 題名:サプライチェーンの最前線を切り開く 概要: 多くの組織ではシステム保守を外部ベンダーに委託しているため、潜在的なセキュリティリスクが存在しています。また、大規模な組織へ侵入するため、アイランドホッピング攻撃(飛び石作戦)として知られるサプライチェーン攻撃を、セキュリティ対策が不十分な中小企業を最初の標的として仕掛けるケースも多々見受けられます。 このプレゼンテーションでは、実際にこのようなサプライチェーン攻撃が行われた事例を紹介します。攻撃者はダークウェブからVPNの認証情報を入手し、小規模企業の環境を経由して大企業のファイルサーバーへのアクセスに成功しました。攻撃者はWinRMとCobalt Strike SMB Beaconを悪用し、EDRによる監視の目をかいくぐりながら、正規に利用されるソフトウェアにコードをインジェクションして横展開を行いました。その他にも、Process HackerやRivaTuner Statistics Server、Process Explorerのようなソフトウェアや、Zemana AntiMalwareやMSI Afterburnerなどに利用されている脆弱なドライバなど、攻撃に悪用されたツールや技術を分析しました。 このプレゼンテーションでは、特に複数の組織にまたがる、複数のネットワーク環境をマージする際に必要となるネットワークアーキテクチャの再評価と再構成、外部に公開されるデバイスやポートの管理、正規ツールの不正利用、EDRによるモニタリングの回避策など、組織内で見過ごされがちなセキュリティ面についてご紹介します。
Show More
|
3:40 pm - 4:15 pm
JST
6:40 am - 7:15 am UTC | Live Online Evasive attacks against AI-based malware detection systems Yuu Arai, Executive Security Analyst, NTT DATA Research Background and Objectives AI-powered antivirus software is believed to be able to detect unknown malware that is difficult to detect with conventional antivirus software. In this study, we attempted to evade detection by AI-powered antivirus software by adding specific character strings to known malware, and experimentally verified the effectiveness of this method. Related Research After reviewing previous research on evasion attacks against machine learning-based antivirus software, we described the white-box, gray-box, and black-box testing methods and their difficulty levels. Experimental Methodology and Results Using digital certificates, we added specific strings to known malware and investigated the detection rates of commercial AI-powered antivirus software and hybrid antivirus software. As a result, we succeeded in generating a maximum of approximately 44% misses against AI-powered antivirus software. Furthermore, we succeeded in generating a maximum miss rate of approximately 59% for a hybrid type product that performs both AI and traditional pattern file detection. 題名:AIベースのマルウェア検知システムを回避する攻撃手法 概要: AIを搭載したマルウェア対策ソフトは、従来のマルウェア対策ソフトでは検出が困難だった未知のマルウェアをも検出できると言われています。本講演では、既知のマルウェアに特定の文字列を付加することで、AIを搭載したマルウェア対策ソフトによる検知の回避を試み、その有効性を実験的に検証した結果を共有します。 機械学習を活用したマルウェア対策ソフトに対する回避攻撃に関する先行研究をご紹介した上で、ホワイトボックス、グレーボックス、ブラックボックスによるテスト手法とその難易度についてご説明します。 そして実際に、電子証明書を用いて、既知のマルウェアに特定の文字列を追加して、AIを搭載したマルウェア対策ソフトとハイブリッド型マルウェア対策ソフトの検知率を調査した結果をご紹介します。
Show More
|
4:15 pm - 4:25 pm
JST
7:15 am - 7:25 am UTC | Live Online Break |
4:25 pm - 5:00 pm
JST
7:25 am - 8:00 am UTC | Live Online Down the HTTP Stack: Responding to Scarred Manticore APT Check Point Research, in collaboration with Sygnia's Incident Response Team, has been tracking and responding to the activities of Scarred Manticore, an Iranian state-sponsored threat actor that primarily targets government and telecommunication sectors across the Middle East. In this talk, we will analyze LIONTAIL, an innovative malware framework used by Scarred Manticore to load memory-resident payloads, utilizing undocumented functions of Windows HTTP driver. We will discuss the unique covert strategy used to respond to such threats and cover the active measures taken to closely monitor, analyze, and hunt for its activities in compromised networks during active Incident Response engagements, with a focus on Windows Server HTTP mechanisms. 題名: Down the HTTP Stack:Scarred ManticoreによるAPTへのインシデントレスポンス 概要: Check Point Researchは、Sygniaのインシデントレスポンスチームと共同で、中東の政府機関や通信セクターを主な標的とするイランの国家支援型脅威アクターであるScarred Manticoreの活動を追跡し、対応してきました。
このプレゼンテーションではLIONTAILについての分析を共有します。LIONTAILとは、Scarred ManticoreがWindowsのHTTPドライバの非公開機能を悪用し、メモリ常駐型のペイロードをロードするために使っている革新的なマルウェアフレームワークです。このような脅威に対応するための特徴的な対策技術を共有し、Windows Server HTTPメカニズムに焦点を当てながら、インシデントレスポンス活動中に侵害されたネットワークにおける攻撃活動を監視、分析、追跡するために取られた対策について説明します。
Show More
|
5:00 pm - 5:35 pm
JST
8:00 am - 8:35 am UTC | Live Online From Root to Fruit - Laying the Foundation for Effective Automotive Incident Response Incident response in the automotive industry is a relatively new area of research with many unique challenges that stem from the scale and complexity of the automotive industry. As key a part of an organization's Cybersecurity Management System (CSMS), IR is crucial to ensuring that vehicles are secured for their entire operation lifecycle, which can span more than 10 years. This talk aims to introduce the unique challenges surrounding incident response in the automotive industry and highlight the importance of establishing an integrated CSMS to achieve a successful IR strategy in the automotive industry. 題名:効果的な自動車業界におけるインシデントレスポンスの基礎 概要: 自動車業界におけるインシデントレスポンス(IR)は比較的新しい研究分野であり、自動車業界の規模や複雑さに起因する多くの特徴的な課題を抱えています。組織のサイバーセキュリティ管理システム(CSMS)の重要な一翼を担うIRは、10年以上にもおよぶ自動車のライフサイクル全体にわたって安全性を確保する上で極めて重要です。
このプレゼンテーションでは、自動車業界におけるIRを取り巻く独自の課題を紹介し、自動車業界におけるIR戦略を成功させるための、統合的なCSMS構築の重要性をご紹介します。
Show More
|
5:35 pm - 6:10 pm
JST
8:35 am - 9:10 am UTC | Live Online From Code to Compromise: Analyzing Threats in GCP Cloud Functions This talk delves into the intricacies of GCP Cloud Functions and uncovers the ways attackers can exploit them. We will explore how attackers abuse Cloud Functions, highlighting common abuse patterns and real-world examples.
Understanding how a Cloud Function operates is crucial. We will examine the entire lifecycle of a Cloud Function, from deployment to completion, including the various mechanisms it utilizes, such as Signed URLs and the services it interacts with on the way, such as Cloud Storage, Cloud Build etc.
The core of our discussion will center on the source code of Cloud Functions. We will delve into how attackers can write malicious code, techniques they can use to conceal or hide their code, and the critical areas or services to investigate. Additionally, we will discuss methods to retrieve and analyze source code, providing practical strategies for securing and monitoring it.
Show More
|
6:10 pm - 6:20 pm
JST
9:10 am - 9:20 am UTC | Live Online Closing
Show More
|