Webペネトレーションテスト入門（#1-1）

Seow Chun Yong - シンガポール

この講義ではWebペネトレーションテストの基本、Webサイトの仕組み、Burp Suiteの使い方について学習します。

ペネトレーションテストおよびレッドチームのリーダー

PowerShellマルウェア検知エンジンハッカソン （#1-2、#3-2）

凌 翔太 - 日本

PowerShellのマルウェアは至るところにあります。多くの場合、Officeマクロ、ショートカット (LNK) またはエクスプロイト+シェルコードから実行されます。機能はさまざまですが、次のマルウェアをダウンロードまたは抽出するためのステージャーとして、時にはバックドアまたはランサムウェアとしてPowerShell スクリプトが使用されます。 Microsoft は、AMSI (AntiMalware Scan Interface) を使用してこれらの悪意のある PowerShell と戦っていますが、残念ながら攻撃者はバイパスする技術を豊富に持ち合わせています。
講義では、PowerShell の基本とその難読化手法に関する座学から始まります。その後、参加者は少人数のグループに分かれ、Python によるWindowsのPowerShellログ機能を使用して検出エンジンを作成するよう求められます。悪意のあるスクリプトを検出します。たとえば、パターン マッチ / ブラックリスト API、記号と英数字の頻度率、さらには AI ベースのテキスト検出エンジンなどです。参加者がそれを構築できる限り、どのような方法論も歓迎されます。トレーニングの最後では、どの検出エンジンが最も優れているかを競います。

株式会社マクニカ マクニカネットワークス株式会社セキュリティ研究センターおよびNetpoleon Solutions Pte Ltd （シンガポール）VAPT Team所属。普段はマルウェア解析やインシデント解析などを行い、脆弱性診断およびペネトレーションテストを実施している。それらで得た知見を活かして、ペネトレーションツールの開発を行う。過去にバックドア、ランサムウェア、APTシミュレータを開発・公開。それらをBlack Hat Arsenal、DEFCON DemoLabsにて発表。

IDAと半自動化スクリプトによるC++マルウェアのリバースエンジニアリング（#2-1、#2-2）

鈴木 博志、梨和久雄 - 日本

C++はRATやBanking Trojanなど、多岐にわたるマルウェアで使用されている。C++で記述されたマルウェアは、オブジェクト指向になっている事が多く、C言語で記述されたマルウェアを解析する際の知識に加え、さらにクラスやその継承、vtable、basic stringなど、いくつか追加の知識や経験が必要になる。本コースでは、そのような特徴を迅速に見つけ、対処していくためのノウハウを学ぶ。
本コースでは、IDA Freeを用いて解析を行う。また、講師はCTO (Call Tree Overviewer) というIDAのサードパーティPluginを開発し、公開している。これを使っていくことで、効率よく解析を行う方法についてもあわせて解説をしていく。
本コースでは、IDAの使い方を学びながら、C++で書かれた実際のマルウェアの解析を行い、そのノウハウを含めた技術習得を目指す。その後、CTF形式のゲームを通して、楽しみ、協力し合いながらも競い合うことで、学んだ技術を実践で活かす。

鈴木博志
株式会社インターネットイニシアティブに勤務。IIJ-SECTのメンバー（プライベートCSIRT）。マルウェアアナリスト、フォレンジック調査員、インシデントレスポンダー及び研究者。
特に標的型攻撃、RAT及びPlugX、Mimikatzなどの攻撃ツールに興味があり、その分野において17年以上従事する。Black Hat(アメリカ、ヨーロッパ、アジア、日本)、Virus Bulletin、FIRST会議（Annual and TC）などの国際会議の講演者及びトレーナーを複数務める。

梨和久雄
株式会社インターネットイニシアティブに勤務。IIJ-SECTのメンバー（プライベートCSIRT）。Threat Analystとしてインシデント対応、マルウェア分析、ネットワークトラフィックの分析に従事する。10年以上にわたり悪意のある攻撃の監視し、マルウェア分析の知識を有する。
Black HatやFIRST(Annual and TC)などの国際会議の講演者及びトレーナーを複数務める。

Hypervisor 101 in Rust（#3-1）

丹田 賢 - 日本

本講義では、ファジング機能を持つ独自ハイパーバイザーを実装しながら、x86_64仮想化技術を学習する。
x86_64仮想化技術（Intel VT-xとAMD-V）はクラウドコンピューティングなど様々な用途に用いられており、それらに対するセキュリティレビューには具体的な仮想化機能の理解が有用である。また、従来では実装が困難であったカーネルコードの動的解析やファジングといった機能を実装するために、セキュリティ研究者が本技術を利用する事例も増えている。
一方で、本技術の習得は情報の少なさなどから容易ではない。そこで、本講義では、どのようにハイパーバイザーと「仮想マシン」が実装されるか、また仮想化技術をどのようにセキュリティ分野に適用できるかを、講義と演習を通して学習する。演習では、スナップショットをもとに仮想マシンを立ち上げ、仮想マシンのメモリを動的に変化させることでファジングを行う独自のハイパーバイザーをRustで実装する。より具体的には、VMCS/VMBC, EPT/NTP, exception interceptionを学習し、テストツールとしてオープンソースCPUエミュレーターであるBochsを使用する。
修了後には、受講生は、講義で実装したハイパーバイザーを拡張したり、同様の技術で実装された既存のファザー（WTFなど）を使用したりして、カーネルモードドライバーやUEFIモジュールなどRing0コードの脆弱性調査を効率的に行えるようになる。

10年以上にわたりリバースエンジニアリングおよびセキュリティソフトウェアの研究開発に従事。とりわけハードウェアに近いレイヤーの技術に興味があり、CrowdStrikeにてIntel Processor Traceを用いたEDR機能や、UEFIセキュリティの評価機能の開発に従事。その傍ら、セキュリティ研究者向けに仮想化技術についてのトレーニングサービスも提供する。
@standa_t

実践　マルウェア・ランサムウェア調査活動（#4-1）

Yurii Khvyl - シンガポール

前半パート：実践　マルウェア調査活動
マルウェアのサンプルを入手するところから、様々な解析（サンドボックス、プロトコル、リバースエンジニアリング）の実施、プロトコルのシミュレーション・モニタリング、インフラの調査、シャットダウンを行うまでの一連の流れについて学習します。
後半パート：ランサムウェアによる攻撃とその緩和策
感染初期の段階からランサムウェアがどのように活動して、ネットワークを侵害していくのか学習します。幾つかの実例をもとに、暗号化アルゴリズムやランサムウェアの脆弱性を利用して、企業や組織の被害を回復する流れについても学習します。
本講義全体を通して、ランサムウェアを利用する攻撃者グループの全容、そして彼らの利用する技術やツールについて学習していきます。

情報セキュリティ業界で15年以上の実務経験を有する。デンマークのCSIS Security GroupでSenior Malware Analystとして10年以上勤務しており、DCC、Frist、AVAR、CAROなど様々なセキュリティカンファレンスに参加したことがある。

Webトラッキングとブラウザ・フィンガープリント（#4-2）

Kai-Hsiang Chou - 台湾

Webサイトにアクセスしたユーザーを一意に識別するための技術であるWebトラッキングは正当な目的のほか、プロファイリングやターゲティング広告など、個人のプライバシーを侵害し得る目的でもしばしば利用されます。昨今、多くの広告代理店やWebサイトのオーナーはステートフルなトラッキング手法を利用していますが、同時に効果的かつユーザーの意思でブロックすることが難しいブラウザ・フィンガープリント等のステートレスなトラッキング手法も取り入れています。ブラウザ固有のデータを取得するスクリプトを実行することで、彼らはステートフルな識別子を保管することなく、それぞれのユーザーを特定および追跡することができます。この講義では幾つかの一般的なWebトラッキングの手法（ステートフルなトラッキング手法とブラウザ・フィンガープリント）とそれらの対処法を座学および演習（チャレンジ）を通して学習します。

Kai-Hsiang Chou（Allen Chouとしても知られている）はWebセキュリティに関心を持っている学部生です。彼はHITCON 2018およびHITCON 2022のワークショップにて開催されたHITCON 101にて講師を務めました。

ドローンセキュリティと信号解析（#5-1）

Captain Kelvin - シンガポール

UAV技術の進歩は、私たちの生活に様々な良い影響を与えると同時に、セキュリティ・適応性・一貫性の面で新たな課題を生み出しています。特に小型のドローンは建築物のセキュリティに大きな影響を与える可能性があると危惧されています。

キャプテンは個人で活動している情報セキュリティ研究者です。彼の専門分野はハードウェア解析およびフォレンジック調査であり、DEFCONのハードウェア・ハッキング・ヴィレッジでは数々のホワイトハッカーたちを率いてワークショップを開設しています。また彼は情報セキュリティの専門家を対象とした様々なカンファレンスにてスピーカー・トレーナーを務めています。

攻撃ベクトル分析に基づく攻撃者の行動分析（#5-2）

Park Moonbeom - 韓国

攻撃を受けたシステムから取得したログを分析して、攻撃者がシステム上でどのような行動をとったのか知るための手法について学習します。

総合研究員