リバースエンジニアリングと活用の基礎（#1-2）

Calvin Fong (Lord_Idiot) and Daniel Lim (daniellimws) - シンガポール、マレーシア

EternalBlue、iPhone脱獄、ゲームハック、これらは基本的なリバースエンジニアリングとエクスプロイテーションスキルなしでは不可能なハッキングウィザードです。ただし、このような興味深いサイバーセキュリティ分野には、欠点があります。それは、この分野への参入障壁は非常に高く、多くの人がこれらのスキルを学ぶには苦労が必要だからです。本講義を通じて、この興味深い領域へのパワーアップができる基本的なスキルと知識が得られます。

Calvin
・Pwn2Own 2021参加者
・STAR Labsの Ex-intern
・Codegate Junior 2019 2nd Place
・ACSCシンガポール代表
・GCC 2018修了
Daniel
・STAR Labsの Intern
・GEFメンテナ(https://github.com/hugsy/gef)
・NUS greyhats代表
・ACSCマレーシア代表

ハンズオンを利用したエクスプロイト後の侵入と調査（#2-1、#2-2）

Bletchley/Chung-Kuan Chen - 台湾

攻撃者が悪用に成功してシステムを侵害した後のフェーズは脅威攻撃者にとって重要ですが、見過ごされがちです。複雑なITインフラストラクチャ、エクスプロイト、マルウェア感染は避けられないため、エクスプロイト後の行為を追跡することは組織のブルーチームの重要なタスクの1つです。一般的に永続性、横方向の動き、特権の昇格コマンド・コントロールからの行為が含まれます。 本講義では、流出された脅威攻撃者のチュートリアル（ランサムウェアグループのコンティ）から始め、脅威攻撃者がエクスプロイト後にどのように機能するかが学べます。次にMITRE ATT＆CKマトリックスをマップとして使い、エクスプロイト後の手法をハンズオンします。その後、重要な環境の一つであるActive directory(AD)を紹介します。ほとんどの組織はWindowsベースのOSをメインシステムとして適用していますが、Windowsのドメインネットワークの中核であるADは、攻撃者にとって戦略的な場所でありADシステムは複雑であるため、安全に構成するには面倒です。最後にエンドポイントとネットワークの両方の脅威ハンティング手法を使用して前のフェーズで実行した、これらのエクスプロイト後のアクティビティを検出します。

CyCraftの主任研究員で研究チームを統括、台湾のSoochow大学の非常勤助教授を担う。National Chiao-Tung 大学(NCTU)でコンピュータサイエンスとエンジニアリングの博士を取得、サイバー攻撃と防御、機械学習、ソフトウェアの脆弱性、マルウェア及びプログラム分析を研究する。機械学習を利用してマルウェア分析と脅威ハンティングを支援し、自動攻撃及び防御システム構築に尽力する。複数の学術雑誌及び会議論文を発表、デジタルフォレンジック、インシデント対応からマルウェア分析まで多くの大規模な研究プロジェクトに携り、セキュリティ教育にも取り組んでいる。
NCTUハッカー研究クラブの創設者、世界クラスのセキュリティコンテストに参加するように学生を訓練、DEFCON CTFに参加する（2016年はHITCONチーム、2018年はBFSチームのコーチ）。
BambooFoxチームを組織していくつかのバグ報奨金プロジェクトに参加、COTSソフトウェアのいくつかのCVEとキャンパスのWebサイトのいくつかの脆弱性を発見。BlackHat、HITCON、CHITB、RootCon、CodeBlue、FIRST、VXCONなどの技術会議で技術プレゼンテーションを行う。
Taiwan security communityメンバー、HITCONレビュー委員会委員長、台湾ハッカー協会理事、台湾でトップのプライベートハッカーグループであるCHROOTのメンバー。

準同型暗号化の概要とそのプライバシー保護データ及び信号分析への応用（#2-3、#5-1）

Artem Lenskiy - シンガポール

暗号化は何十年にもわたってインターネット通信の不可欠な部分でした。しかし、受信または送信されたデータの処理に関しては、先に暗号化をすべきです。
本講義では暗号化されたデータを直接計算できる準同型暗号化(HE)の概念を紹介します。最近、Microsoftや他の大きなテクノロジ―企業によって多くの実用的なHEスキームが開発され、クラウドコンピューティングサービスによるHEの適応が加速化されました。
本講義は、素数への数の因数分解の難しさに依存するHEスキームの例によって補足される準同型暗号化の定義を学ぶことから始めます。次にCKKSスキームを使用して暗号化されたデータに対して機械学習アルゴリズムを実装します。さらに、実用的な以下の2つのHEアプリケーションについても説明します。
・暗号化されたデータの購入または販売決定を生成する取引アルゴリズム
・糖尿病患者のインスリン制御におけるHEの潜在的な使用法を説明する医療アプリケーション

韓国国防開発庁から資金提供を受け、蔚山大学で電気工学の博士学位を取得、現在はジョンズホプキンスで応用数学での第2修士に取り組み中。学部・大学院レベルに対して15を超えるコンピュータサイエンス及び数学コースの教育担当、現在はANUの大学院生10名を指導している。準同型に関する多くのジャーナルを出版。政府機関、自営会社でのコンサルタント及び国防総省、保健省、産業科学エネルギー資源省にプロジェクト提供など15年以上の経験を有する。

IDAと準自動化スクリプトによるC++で記述されたマルウェアのリバースエンジニアリング（#3-1、#3-2）

鈴木 博志、梨和久雄 - 日本

C++はRATやBanking Trojanなど、多岐にわたるマルウェアで使用されている。C++で記述されたマルウェアは、オブジェクト指向になっている事が多く、C言語で記述されたマルウェアを解析する際の知識に加え、さらにクラスやその継承、vtable、basic stringなど、いくつか追加の知識や経験が必要になる。本コースでは、そのような特徴を迅速に見つけ、対処していくためのノウハウを学ぶ。
本コースでは、あえてIDA Freeを用いて解析を行う。昨今CTF playerの間で人気のGhidraは小さなプログラムや簡易的な解析、特定の条件下では有用であるが、処理速度、デコンパイラの正確性、サードパーティスクリプトやプラグインの豊富さなど、多くの点でIDAと比較した場合に劣っているため、IDAは今なおデファクトスタンダードなリバースエンジニアリングツールである。
講師はCTO (Call Tree Overviewer) というIDAのサードパーティPluginを開発し、公開している。これを使っていくことで、いかにして効率よく解析を行っていくかについてもあわせて解説をしていく。
本コースでは、IDAの使い方を学びながら、C++で書かれた実際のマルウェアの解析を行い、そのノウハウを含めた技術習得を目指す。その後、CTF形式のゲームを通して、楽しみ、協力し合いながらも競い合うことで、学んだ技術を実践で活かす。

鈴木博志
株式会社インターネットイニシアティブに勤務。IIJ-SECTのメンバー（プライベートCSIRT）。マルウェアアナリスト、フォレンジック調査員、インシデントレスポンダー及び研究者。
特に標的型攻撃、RAT及びPlugX、Mimikatzなどの攻撃ツールに興味があり、その分野において16年以上従事する。Black Hat(アメリカ、ヨーロッパ、アジア、日本)、virus Bulletin、FIRST会議（Annual and TC）などの国際会議の講演者及びトレーナーを複数務める。

梨和久雄
株式会社インターネットイニシアティブに勤務。IIJ-SECTのメンバー（プライベートCSIRT）。Threat Analystとしてインシデント対応、マルウェア分析、ネットワークトラフィックの分析に従事する。10年以上にわたり悪意のある攻撃の監視し、サイバー犯罪の研究、マルウェア分析の知識を有する。
Black HatやFIRST(Annual and TC)などの国際会議の講演者及びトレーナーを複数務める。

UEFI BIOSセキュリティ（#4-1、#4-2）

丹田 賢 - 日本

本講義では、Unified Extensible Firmware Interface (UEFI) BIOSとそのセキュリティの脅威及び対策に関する深い知識を提供する。
2021年のMicrosoftレポートに示されているように、ファームウェアは防御側の可視性が低くセキュリティレベルが低いことにより、近年攻撃対象として一般化しつつあり、組織の80%が過去2年間にファームウェア攻撃を経験したと報告している。多くのファームウェアの種類の中でもUEFI BIOSは、幅広く使用されていることに加え、ハイパーバイザーやオペレーティングシステムのより高い特権レベルで動作するコードを含むため、ターゲットになりやすい。実際に、Lojax(2018)、MosaicRegressor(2020)、FinSpy(2021)など、脆弱性を悪用するなどして悪意のUEFIモジュールをインストールし、何年も検出されなかったマルウェアが複数存在する。一方で、このような脅威に対して、業界はまだ十分に備えられていない。インシデント対応チームはUEFIを介した攻撃を検出・分析できるか、セキュリティソフトウェアはそれらを検出できるか、何人の防御者がUEFIモジュールのリバースエンジニアリングができるか、UEFIアーキテクチャーとセキュリティ機能はそもそもどれだけ理解されているか。
本講義では、実際のサンプルを使用したハンズオン事前学習、4時間の講義とディスカッションを通じてUEFIと様々なタイプの脅威について学ぶ。具体的には、ゲームチートに使用されるUEFIランタイムドライバーのコード読解、Ghidraを用いたUEFIマルウェア、UEFIに感染するWindowsマルウェア、およびSystem Management Mode (SMM)の脆弱性の解析を行う。また、Boot Guard, Secure Boot, Trusted Platform Module (TPM)、CHIPSECといった、これらに対する対策技術やリスクを低減する運用の議論を行う。

10年以上にわたりシステムソフトウェアエンジニア及びセキュリティ研究に従事する。UEFI及びWindowsカーネルモジュールプログラミング、リバースエンジニアリング、脆弱性の発見とExploitation、マルウェア分析、仮想化テクノロジー分野を専門とし、その教育に務める。UEFIセキュリティの脅威の分析においてUEFI BIOSの複数の脆弱性を発見する。CrowdStrikeに勤務。

Computers within computers ～エミュレーション技術と潜在的な落とし穴のケーススタディ～（#4-3）

James Wang - 台湾

最近のインフラストラクチャの大部分は、仮想マシンや命令レベルのインタプリタなどエミュレーションテクノロジの利用に依存しています。 本講義では、ユニコーンエンジンについて詳しく説明します。ユニコーンエンジンは、比較的控えめで柔軟性のあるマルチアーキテクチャエミュレーターです。その内部メカニズムと、そのような環境において実装の欠陥がどのように現れるかを明らかにします。

昼はMIエンジニアで夜はpwner。空き時間には読書をしたり絵を描いたりします。

攻撃ベクトル分析に基づく攻撃者の行動分析（#4-4）

Park Moonbeom - 韓国

攻撃者によりハッキングされた被害者のシステムを分析し、被害者システムログを分析することにより攻撃者の行動を再構築する分析ハッキング手法を学びます。

韓国サイバーセキュリティ及びインシデント対応部門の国家調査局の一般研究員及びサイバー調査顧問メンバ。ハッキング方法の調査、ハッキングによるインシデントの分析及びプロファイリングを担う。ホワイトハッカーを訓練するプログラム(BoB)のインストラクタ兼メンタ。

ロバストプロトコル・オープンチャレンジ（#5-2）

今岡 通博 - 日本

一般にサイバーセキュリティは、悪意のある攻撃者から情報デバイスとデータを保護することに重点を置く傾向があります。それに加えて事故や自然災害からの通信を保護することもサイバーセキュリティの重要なタスクでです。 本講義ではそのようなタスクを達成するためのスキルを競うコンテストをデザインします。

今岡工学事務所代表。FPGAと組み込みシステムの開発を行っている。2014年からMicrosoft MVP(Windows開発)、2015年からセキュリティ・キャンプの講師、プロデューサを務める。2020年からSechack365トレーナ。2021-2021年ブラックハットUSAアーセナルプレゼンタ。

ホームIoTデバイスセキュリティ（#6-1）

Park Suhyun - 韓国

最近、家庭用のIoT(Internet of Things)デバイスが多くなっており、もはやスマートフォン、タブレット、スマートウォッチは一般的なものです。スマートテレビ、冷蔵庫、さらにはドアロックやマルチプラグもインターネットに接続されています。本講義ではこれらのデバイスがWebを介してセキュアに通信しているかについてお話します。

サイバーセキュリティ分野で15年以上の経験を有し、ネットワーク、IoT、クラウドサイバースペースでのハッカーによる攻撃からシステムを保護するネットワークセキュリティ製品の開発に従事する。