▲TimeTable

SECCON 2022

SECCON 2022 電脳会議

2023.2.11 (Sat.) - 12(Sun.)    in 浅草橋ヒューリックホール&カンファレンス
事前登録【無料】はこちらから

2月11日(土)12日(日)2日間にわたり、SECCON CTF決勝(国際・国内)、およびセキュリティコンテスト参加を目指す人、セキュリティ技術者を目指す人向けのイベントを「SECCON2022 電脳会議」として開催します。
SECCONでは、運営・スポンサー・競技者・参加者などSECCONに関わる全ての人にSECCON COVID-19 ポリシーを遵守して頂き、開催します。

Floor Guide
<浅草橋ヒューリックホール&カンファレンス>

SECCON Floor Guide

Time Table

CTF2階ヒューリックホール

CTF
DAY1:2月11日(土)10:00-18:00 /
DAY2:2月12日(日)10:00-17:00
SECCON CTF 2022 International Finals
24時間にわたる世界規模のオンライン予選を勝ち抜いた国内・国外のチームが集結。
LOGOTeam NameRegionProfile
ic_teami_01organizers organizers ic_flgs_bel
ic_flgs_chn
ic_flgs_che
ic_flgs_che
A team forged by the memes, for the memes, 0rganizers turns cyber security into cyber mystery.Since the days of yore, the winds have whispered of the 0rganizers, of their exceptional ability at random guesses, of them somehow still getting flags.Masters of the unknown, never quite not unprepared, they have a legacy of conquering challenges with nothing but the finest Swiss cheese.Commonly referred to as "the ultimate wildcard", "the embodiment of disorganisation", and "mostly intoxicated".No opponent ever knows what to expect.
ic_teami_02perfectblue perfect blue ic_flgs_kor
ic_flgs_usa
ic_flgs_est
ic_flgs_est
This is perfect blue, an American team which looks international.We're glad to be invited for the finals!
ic_teami_04DiceGang DiceGang ic_flgs_usa
ic_flgs_usa
ic_flgs_usa
ic_flgs_usa
// Excerpts from GPT-Neo trained on the DiceGang discord:
hello! We are a team of 15 engineers working in the crypto space: backend, server, and clients. We believe that we can become a leading player in the space by working together and together we will be able to solve any challenge that comes our way. In short, DiceGang is not about solving chutes and ladders. But it is about solving hard, unsolved problems.
Wait does DiceGang use code? Like DiceGrid. We have a code repository literally 5 years old. We wrote our own language, it's basically an all-in-one probabilistic ag-school. Yeah, I'm not sure exactly what it's called but it's basically a crazy base 7 web that contains a calendar and a zoomer bot. DiceGang, DiceGrid, and DiceDynasty.
ic_teami_05SuperGuesser Super Guesser ic_flgs_kor
ic_flgs_kor
ic_flgs_kor
ic_flgs_kor
We are the people who are always guessing something.
ic_teami_06hxp hxp ic_flgs_bgr
ic_flgs_deu
ic_flgs_deu
ic_flgs_deu
Our team is comprised of a random assortment of college outcasts, united by the hate for terrible tooling and the love for beer (and pwns). CV see: https://hxp.io/about/ , current employment: https://2022.ctf.link/
ic_teami_07AAA AAA ic_flgs_chn
ic_flgs_chn
ic_flgs_chn
ic_flgs_chn
The AAA team is a self-organized group of information security enthusiasts from Zhejiang University, supported by the School of Computer Science and Zhejiang University, and supervised by three teachers, Bai Honghuan, Zhou Yajin and Chang Rui. Each member of the team has an unparalleled love of information security, so they are always full of passion about the CTF games. The AAA team consists mainly of undergraduates from the Zhejiang University Computer Institute and other colleges. Over the generations, the first generation of AAA members has been scattered across the country, become the backbone of the security sector everywhere. AAA team in a series of major competitions at home and abroad have obtained excellent results. Domestically, AAA team has won the 2016 ZCTF champion, the 2017 Rising Star Champion, the 2017 WHCTF champion, and the 2017 national championship of the University Network Information Security Management and Operation Challenge, as well as the 2021 Fifth Strong Tennis Cup finals grand prize and the best university honor. Internationally, the AAA team was a finalist in Japan's SECCON CTF finals in 2016,2017 and 2019, and in Korea's CODEGATE CTF finals in 2018 and 2019, from 2017 to 2020, AAA joined forces with Tencent, Shanghai Jiao Tong University and Fudan University to participate in the DEFCON CTF Global Finals and win the championship in 2020.
ic_teami_08TSG TSG ic_flgs_jpn
ic_flgs_jpn
ic_flgs_jpn
ic_flgs_jpn
A group of students at the University of Tokyo, interested in computer science, mathematics, and other.
ic_teami_09StrawHat Straw Hat ic_flgs_chn
ic_flgs_chn
ic_flgs_chn
Straw Hat is an international CTF team composed of CTF enthusiasts, founded in early 2022. Straw Hat has achieved many accomplishments in CTF competitions, including 7th place in the 2022 DEF CON CTF. Team members have also participated in hacking competitions such as Pwn2Own, and have given speeches at security conferences such as HITCON and Blackhat.
ic_teami_10ChaShu Cha Shu ic_flgs_kor
ic_flgs_kor
ic_flgs_kor
ic_flgs_kor
Young and Super Power Korean Hackers.
ic_teami_11KMA.L3N0V0 KMA.L3N0V0
(Invitation)
Winner of CyberSEAGame
ic_flgs_vnm
ic_flgs_vnm
ic_flgs_vnm
ic_flgs_vnm
We are student of Vietnam academy of cryptography techniques
CTF
DAY1:2月11日(土)10:00-18:00 /
DAY2:2月12日(日)10:00-17:00
SECCON CTF 2022 Domestic Finals
24時間にわたる世界規模のオンライン予選を勝ち抜いた国内・国外のチームが集結。
LOGOTeam NameProfile
ic_teamd_01KUDoS KUDoS KUDoS. Not KuDoS.
ic_teamd__(-.- _))_ _(-.- _) )_ 這ってでも旗を取りに行く気概
ic_teamd_03ids-TeamCC ids-TeamCC 私たちのチームは、とても大きな樹の元でソリュっとクリエイトしている人々を中心に構成されています。その樹はなんともふしぎな木で、見たこともない花を咲かせるそうです。
ic_teamd_04TokyoWesterns TokyoWesterns TokyoWesternsは日本のCTFチームです。かつては国外を含めさまざまなCTFに参加していましたが、現在はほとんどのメンバーが社会人になったため積極的に活動していません。
ic_teamd_05traP traP 東工大焼肉同好会traP(実際に、牛を罠にかけることからtraPと呼ばれている)
打ち上げ@4 浅草橋駅前の「焼肉BASE 架」(行きたいチームいたら声かけてください)
ic_teamd_06Double Lariat Double Lariat 三 ⊂二二二( ^ω^)二二⊃ブーン
ic_teamd_07AERO SANITY AERO SANITY 某サイバーセキュリティ企業の有志によるチームです。(っˊᵕˋ)╮=͟͟͞͞🍣
ic_teamd_08Team Enu Team Enu 電話会社の旗取同好会
ic_teamd_09chocorusk chocorusk 1年ほど前からCTFに参戦し始めたchocoruskです。以前は競技プログラミングをやっていました。予選にはソロで参加しましたが、決勝ではチームDCDCの方々が加わってくれることになったので、勝ちを狙っていきたいと思います。よろしくお願いします!
ic_teamd_10parabola0149 parabola0149 いっけなーい😵!遅刻遅刻💦!私、parabola0149。どこにでも居る至って普通の大学院生(博士前期課程)!でもある時SECCON CTF 2022 Finalsへ参加決まっちゃってもう大変😭!しかもチームの仲間が全然いない!?一体私、これからどうなっちゃうの〜😭😭!?!?!?
ic_teamd_11catapult カタパルト
(Invitation)
SECCONのため学生全体から選りすぐり構成されたドリームチームです。各々の進路の関係上同じメンバーは二度と集まれません。このメンバーで全国大会という大舞台に出場できることに感謝し、そして良い成績を残せるよう頑張ります!
ic_teamd_12rokata 路肩
(Invitation)
道路の肩です。

Hall Stage2階ヒューリックホール

スポンサーによる短いプレゼン、CTFの解説等のステージです。スケジュールされていないLTが入ることもあります。

Room 03階ヒューリックカンファレンス

OP
2月11日(土)10:00-10:20
オープニング
登壇者
SECCON Committee Member
D1-T1
2月11日(土)10:20-11:00 
基調講演
登壇者
猪俣敦夫
プロフィール
大阪大学教授、 立命館大学客員教授、一般社団法人JPCERT/CC理事、一般社団法人公衆無線LAN認証管理機構代表理事、大阪府警察・奈良県警察サイバーセキュリティアドバイザ
概要
学際的とも言われるサイバーセキュリティの世界、この分野に興味を持ったほとんどの若手の方は技術的関心が高く、そうしたキッカケがとても重要であることには間違いない。とはいえこの世界に十数年浸かると、実のところ法律や監査といったようなマネジメントや組織論など幅広い視点で学ぶことが実に多い領域であることに気付かされる。本講演では、私がこの点において伝えたいことを自身が教育・研究者という立場でどのような経緯を辿り今に至ってきたのかを「リバースエンジニアリング」の観点から私が解析・実装した「レガシー」な事例を取り上げて、あらためてサイバーセキュリティを幅広く学んでいただく気付きを与えたい。
D1-T2
2月11日(土)11:00-11:30 
SDR (Software Defined Radio) を使った無線の解析
登壇者
江草陽太 (さくらインターネット株式会社 CIO/CISO 兼 執行役員 技術推進統括担当)
プロフィール
大阪府出身。洛星中学・高等学校時代にロボット研究部を立ち上げる。ロボカップジュニアなどの大会に出場。 その後大阪大学工学部電子情報工学科に進学。NHK大学ロボコンに出場。学生時代より個人事業としてシステム開発やISMS取得などのセキュリティコンサルタントを行う。2014年10月、さくらインターネットに新卒入社。2016年7月、執行役員に就任。現在は社内全体の技術推進と情報セキュリティを統括。 ネットワーク、データベース、情報セキュリティスペシャリスト。
概要
SDRを用いて無線通信の受信や解析を行うことで、一般に販売されていない通信方式についても受信することが可能となっています。 現在では2.4GHzを超え6GHzちかくまでのサンプリング周波数のSDRフロントエンド (送受信装置) も容易に手に入るようになってきました。 今回は5.8GHz帯を利用しているETCを題材にSDRをつかった受信の実例をご紹介します。
D1-T3
2月11日(土)11:30-12:20 
Hack the Real Box: APT41’s New Subgroup, Earth Longzhi
登壇者
Hiroaki Hara and Ted Lee
プロフィール
Hiroaki Hara focuses on threat intelligence research in the Asia-Pacific region. He specializes in threat hunting, incident response, malware analysis, and targeted attack research. He spends most of his time coming up with funny names for newly found pieces of malware. He has previously presented at JSAC 2021/2022 and HITCON 2022. Ted Lee mainly focuses on tracking APAC-based advanced persistence threat (APT) attacks and malware research. He also works as a malware/intelligence analyst to support incident response (IR) case analysis in Taiwan. He has previously published research topics on HITCON 2022 and CyberSec 2022."
概要
The activity of APT41, since the prosecution by United States in 2020, is getting more complex, not only in the perspective of its TTPs but also attribution. In 2021, multiple security vendors disclosed new campaigns by several subgroups of APT41, such as Earth Baku, Sparkling Goblin, Blackfly, Amoeba and GroupCC, which is becoming chaotic. Unfortunately, we will add one more subgroup into this hall of (in)fame, which we call as Earth Longzhi.

Earth Longzhi has several overlaps with existing APT41's subgroups based on code reuse and TTPs, but their long-running activities have not been fully revealed yet. As we observed, Earth Longzhi has been active since at least early 2020, and continues to change its targets and TTPs from time to time. Through analysis of their activity, we discovered that there are two major campaigns.

In the first campaign, we observed from 2020 to early in 2021, they targeted several government entities in Taiwan with custom Cobalt Strike loader, which we call as Symatic, and custom hacking tools. The loader used in this campaign implement several RedTeam-like techniques: ntdll.dll unhooking for bypass AV and usage of uncommon API "EtwpCreateEtwpThread" for thread execution.
In the second campaign, we have observed from August in 2021 to March in 2022, they targeted mainly high profile victims of Defense and Aviation sector in multiple regions including Taiwan, China, Thailand, Malaysia, Indonesia, Pakistan and Ukraine. The attack that appear to target Ukraine were prepared around December 2021, a few months before the Russia's invasion of Ukraine began, which is particularly noteworthy from a geopolitical perspective. In this campaign, in addition to the intrusion method via exploitation against public-facing application which is heavily used by other subgroups of APT41, they used spearphishing emails to directly reach out high profiled individuals in target company. Regarding tools, we observed various types of custom Cobalt Strike loaders: CroxLoader, BigpipeLoader, MultipipeLoader and OutLoader. These loaders implement several unique anti-analysis techniques: exception-based control flow and multi-threading payload decrypting. The final payload of these loaders is Cobalt Strike, but it adopts domain fronting abusing Fastly CDN to hide actual C&C server. Adding to them, we found two anti-AV/anti-EDR tools, ProcBurner and AVBurner. Both tools utilize a vulnerable driver "RTCore64.sys" to bypass AV/EDR monitoring, which technique is so-called Bring Your Own Vulnerable Driver (BYOVD).

In this presentation, through the technical details of the above two campaigns by Earth Longzhi, we will reveal how they has been changing their TTPs to bypass detections. And adding to that, we will describe the detail process of "how we attributed". With the analysis of similarity of each loaders, Cobalt Strike's configuration and overlaps of TTPs, we concluded that the several incidents belong to single actor. We believe that sharing the attribution process, not only technical details of malwares, will help other security researchers in future.
D1-T4
2月11日(土)13:00-13:30 
BSides Tokyo
登壇者
BSides Tokyoのプログラム詳細はこちら
https://bsides.tokyo/2023/index.html
プロフィール
概要
BSides Tokyoのプログラム詳細はこちら
https://bsides.tokyo/2023/index.html
OP
2月12日(日)10:00-10:05
オープニング
登壇者
SECCON Committee Member
D2-T1
2月12日(日)10:05-11:00
「国家安全保障戦略」の能動的サイバー防御の法的含意
登壇者
高橋郁夫
プロフィール
株式会社ITリサーチ・アート 代表取締役 弁護士
概要
令和4年12月16日、日本国の国家安全保障会議及び閣議は、「国家安全保障戦略」等を決定している。そこでの安全保障関連3文書のうち、「国家安全保障戦略」は、「能動的サイバー防御を導入」するとしている。しかしながら、新聞報道等においては、これが、具体的にどのようなサイバー・オペレーションを意味しているのかといった具体的な分析はなされていない。本講演では、「国家安全保障戦略」で想定されている具体的なオペレーションが、誰による、どのようなものであるかを分析するとともに、それを実現に移す際の法的な問題点を概観する。
D2-T2
2月12日(日)11:00-11:30
NDR/XDR/脅威インテリジェンス最先端 ー SECCON 2022ライブデータの事例
登壇者
シスコシステムズ合同会社 エバンジェリスト/アーキテクト 木村 滋、シスコシステムズ合同会社 エバンジェリスト/アーキテクト 二宮 瑞樹
プロフィール
木村 滋:テクニカルアーキテクト/エバンジェリスト セキュリティソリューション専任技術担当として、大手データセンター/キャリア ビジネスのプロジェクトを中心にサポート、ゼロトラスト、SASE、XDR等テクノロジ普及活動に従事、Cisco Security Trust Office 兼務 CCIE#19521 NPO法人日本ネットワークセキュリティ協会(JNSA)幹事、 デジタル庁 次世代セキュリティアーキテクチャ検討会 委員、NISC クラウドを利用したシステム運用に関するガイダンス レビュワー等
二宮 瑞樹:テクニカルアーキテクト/エバンジェリスト セキュリティソリューションXDR専任技術担当としてXDR等テクノロジ普及活動や幅広いお客様への提案活動に従事 CCIE#54670D
概要
Ciscoは今競技開催にて競技会場とバックボーンを支えるネットワーク機器の機材提供ベンダーとして参加させていただいております。今回の提供インフラである、Catalyst 9000 スイッチ、Catalyst 8000 エッジルータとの連携による、セキュリティ監視のプラットフォームとしてのネットワーク振る舞い監視ソリューション NDR/XDR の効果事例について、本会場の傾向も含め解説します。
D2-T3
2月12日(日)11:30-12:30
KaliPAKU 初心者向けペネトレーションテストツール
登壇者
Mr.Rabbit
プロフィール
セキュリティインストラクターをしつつ、ペネトレーションテストに関するツールを作成。過去にBlackHat Asia Arsenal やSECCON YOROZUで発表。CISSP
概要
KaliPAKUは、ペネトレーションテストの半自動化ツールです。テンキーだけを使い、ゲーム感覚で複雑なコマンドやオプションを学び、一連の侵入試験ができます。 まず最初は、慣れることが大切で、数字の組み合わせだけでコマンドを実行し、体験し、学習します。 次のステップは、理解すること。このツールでは、実行するコマンドやオプションのヘルプを表示します。その内容を少しずつ覚えていくことで、プレイヤー自身のスキルアップに繋げる事ができます。 最後は実戦練習です。KaliPAKUは、手動でのコマンド入力にも対応しています。これまで使ったコマンドのヘルプを確認し、実際にコマンドを手動入力して侵入試験を行えます。
D2-T4
2月12日(日)13:00-13:30
An Analysis on the Recent Malicious Documents and Their Techniques
登壇者
Chun-Chia Huang
プロフィール
A CS student and CTF player interested in security, currently working as a security research intern at Cycraft.
概要
Malicious file-based attacks have been a persistent threat for many years, and recent serious vulnerabilities such as CVE-2021-40444 and CVE-2022-30190 (Follina) have only exacerbated the problem. These vulnerabilities have allowed malicious files to become even more widespread and effective at causing harm. In this talk, we will delve into the world of malicious file attacks and provide an analysis of several examples from the past six months. We will examine the different types of documents and techniques used by attackers, including the use of known vulnerabilities such as the aforementioned CVEs and common exploitation methods. We will also explore the evasion techniques employed by attackers in order to bypass security measures and avoid detection. By understanding these patterns, we hope to provide key points for consideration when detecting and scanning for malicious files.
D2-T5
2月12日(日)13:30-14:00
MWS Cupにおける実践的なDFIRコンテスト問題の作成
登壇者
保要隆明
プロフィール
株式会社エヌ・エフ・ラボラトリーズ所属。普段はセキュリティ教育プラットフォームの開発や攻撃者目線での研究開発業務に従事している。MWS Cupにおいては、2019年から作問に携わり、2020年からDFIR問題の主担当を務めている。GCIH,GCFA,GNFA,GREM,OSCP,OSEP。NTTグループ セキュリティプリンシパル。
概要
マルウェア対策研究人材育成ワークショップ(MWS)内で開催されるコンテスト MWS Cupでは、EDRやProxyのログを分析し、どのようなサイバー攻撃が行われたか明らかにするDFIR問題を出題している。 問題の作成にあたっては、現実のサイバー攻撃を再現することを意識し、参加者が実践的なスキルや知識が得られるようにいくつかの工夫を凝らしている。 本講演では同様のコンテストの開催を検討している方の一助となるよう、MWS Cup DFIR問題の作問プロセスを共有するとともに、どのような工夫をしたか、作問にあたってどのような課題があったかを共有する。
D2-T6
2月12日(日)14:00-15:00
Next Generation Sandbox with A Little Help From Machine Learning
登壇者
Wei-Chieh Chao and Yi-Hsien Chen
プロフィール
Wei-Chieh Chao is a security researcher of the Research Team of CyCraft. He focuses on research on Sandbox Technology and Malware Analysis. He graduated from National Taiwan University with master degree in Cyber Security. He has published his works on IEEE DSC . He was a speaker of HITCON, CodeBlue, and CyberSec. In addition, he is also a member of the BambooFox CTF team at NCTU and has participated in several CTFs, and won 12th, 2nd in DEFCON 26, 27 with BFS, BFKinesiS CTF team. Yi-Hsien Chen is a Ph.D. candidate in the Department of Electrical Engineering, National Taiwan University, and a security researcher of the CyCraft research team. His researches focus on automatic malware analysis techniques. He tries to utilize symbolic execution, machine learning, and several static analysis techniques to enhance malware analysis speed. He has published his works on IEEE DSC and ACM ASIACCS. He was also a speaker of HITB CyberWeek, AVTokyo, HITCON, and Codeblue. Furthermore, he is a member of the BambooFox CTF team from NCTU, participated in several CTFs, and won 12th, 2nd in DEFCON 26, 27 with BFS, BFKinesiS CTF team.
概要
Innumerable malicious programs are captured daily, and in our case, with static analysis and rule-based scanning, hundreds of them are still worth investigating. Regardless, it's still an unaffordable number for reverse engineering. Thus, automatic dynamic analysis plays an essential role in quick filtering and brief analyzing. A sandbox is a common tool for examining and analyzing an unknown program. It can give malware analysts an overview of a program, including what it did, which family it is related to, how it infects other machines, etc. With it, we can quickly figure out the viral parts and decide if it is worth furtherly reversing. In this talk, we point out three problems with sandboxes. Firstly, some malware is capable of detecting sandbox environments, and they would stop performing malicious operations to prevent being caught. Therefore, successfully executing them would prove difficult. We will share a case in this topic where malformed executables can make our dynamic analysis fail and how we can solve this problem. Secondly, how can we utilize artifacts from sandboxes to determine their families and what ATT&CK techniques they use? We collected strings and API usage in both static and dynamic methods and then used pre-defined rules to mark them. In addition, we proposed a machine learning-based approach to finding the implicit relationship among artifacts. Furthermore, they can be fed back to update the rules. Lastly, the reports from sandboxes are usually too complicated to read, and malware analysts need to use their domain knowledge and experience to figure out the critical parts. To deal with it, we leveraged elasticsearch and sigma rules to help enhance the analyzing speed and develop analyzing tools. We will introduce our sandbox and detailed methodologies to solve these three problems in this talk.
D2-T7
2月12日(日)15:00-15:30
実践的なセキュリティ人材育成の取り組み
登壇者
日立ソリューションズ・クリエイト セキュリティビジネス本部 部長 上野貴之/日立ソリューションズ セキュリティサイバーレジリエンス本部 シニアセキュリティアナリスト 米光一也
プロフィール
上野貴之(株式会社日立ソリューションズ・クリエイト)CISSP 2003年に入社しセキュリティ製品の開発に従事。その後、セキュリティ事業の立ち上げに参画し、セキュリティ診断、セキュリティ教育、CSIRT支援、セキュリティソリューション企画などを担当。また、日立グループ内の社内セキュリティコンテストを企画し、社内のセキュリティ人材の発掘と育成を行っている。社外においても、社会人・学生向けの情報セキュリティ関連の講演、講習講師を通じてセキュリティ人材の育成に貢献。/米光一也(株式会社日立ソリューションズ)CISSP 2000年にプログラマとして入社。同社セキュリティ製品「秘文」のWeb機能の開発リーダや、セキュリティコンサルタントを経て、現在はホワイトハッカーチームのリーダとして活躍する。早稲田大学非常勤講師、情報処理技術者試験 試験委員など、日本の次世代のセキュリティ人材育成にも貢献。
概要
サイバー攻撃の手法は巧妙化し、その脅威は増大しています。一方、サイバーセキュリティ対策を行う人財はなかなか育ちません。そこで日立ソリューションズグループで行っているより実践的な高度セキュリティ人財育成の取り組みをご紹介します。
D2-T8
2月12日(日)15:30-165:30
Unveiling the Next Generation of Command-Line Understanding: CmdGPT and Its Unsupervised Embedding Capabilities
登壇者
Sian-Yao Huang and Cheng-Lin Yang
プロフィール
Sian-Yao Huang is a data scientist at CyCraft Technology, where he is primarily responsible for adopting and creating sophisticated deep learning models to solve challenging cybersecurity issues like large-scale multifactorial anomaly detection, automatic AD security analysis, and massive user behavior retrieval. Huang is passionate in investigating any opportunity to use top-notch ML approaches in the field of cybersecurity, and his works have also been published on IJCNN and CVPR, two of the world's leading machine learning conferences. Dr. Cheng-Lin Yang, currently a senior data science architect at CyCraft Technology, received his PhD in Artificial Intelligence from the University of Edinburgh. His research focuses on constructing efficient and effective machine learning workflow and utilizing machine learning techniques to automate detection and response along each phase of the cyberattack kill chain. In his free time, he particularly enjoys analyzing user password patterns.
概要
Command-line plays a crucial role in identifying and analyzing malicious activities in the cybersecurity industry. However, the flexibility of the command-line structure and the existence of unique one-off tokens have posed critical challenges to security experts. In this talk, we will explain the proposed novel model in detail and demonstrate how it associates and attributes the malicious command-line to known attackers. Recently, large-scale pre-trained language models (e.g., ChatGPT and CodeX) have shown an outstanding ability to explain code functionality. Inspired by these works, we propose an unsupervised command-line embedding model, called CmdGPT. The model was trained in two steps. First, we collected lots of command-lines from real-world security incidents that cover attacks on multiple industries, such as semiconductor manufacturers and financial sectors. Then, the data was used to fine-tune the GPT-2 model—one of the most powerful language models publicly available on the Internet. Second, we leveraged the command-line embedding vector generated by OpenAI’s latest text-embedding model, which is a text and code embedding model fine-tuned on GPT3.5. Then, the embedding vector was used as the auxiliary ground truth to fine-tune the CmdGPT with the contrastive learning. In our experiments, we found that CmdGPT could successfully cluster similar command-lines in the feature space, even for the command-lines that have unique file hashes or timestamps. It empirically implies that CmdGPT is more than capable of, at least partially, comprehending the structure and the syntax of both the command-lines and embedding the command-lines in a suitable position of the high-dimensional feature space. Hence, it has allowed us to link unknown command-lines to known attack groups.

Room 43階ヒューリックカンファレンス

D1-W1
2月11日(土)10:00-12:00
SECCON Beginners Workshop
講師
SECCON Beginners 運営チーム
概要
SECCON Beginners は日本国内の CTF のプレイヤーを増やし、人材育成とセキュリティ技術の底上げを目的としたCTF未経験者向け勉強会です。本ワークショップでは、主に CTF を始めてみたいと思っている方や CTF の大会に出てみたものの難易度が高く問題が解けなかった方、取り組みやすい問題を通して CTF の雰囲気を掴みたいと感じている方を対象に、ガイダンスおよび解説付きの CTF を実施します。みなさまのご参加をお待ちしております。(参加予定の方はノート PC をご持参ください) より詳細な説明はこちら
D1-W2
2月11日(土)13:00-15:00
CTF for GIRLS Workshop
講師
CTF for GIRLS 運営チーム
概要
CTF for GIRLS は 情報セキュリティ技術に興味を持つ女性達が、気軽に技術的な質問や何気ない悩みを話しあうことが出来るコミュニティ作りを目的とした団体です。本ワークショップでは、過去のワークショップやCTFで出題した問題を体験いただきます。 運営メンバーからの解説も実施いたしますので、セキュリティの勉強に興味がある、CTFにチャレンジしてみたいなと考えている方、ぜひご参加をお待ちしております。CTF4Gの活動をより多くの人に知っていただく為、女性の方に限らず、どなたでもご参加いただけます。(参加予定の方はノート PC をご持参ください) より詳細な説明はこちら
D1-W3
2月11日(土)15:00-17:00
シェルコード解析入門とそのDFIRハンドリング
講師
アドリアン ヘンドリック(LACサイバー救急センター・インシデントマネジメントグループ),SECCON Workshop 運営チーム
概要
2021年にSECCONに行った「シェルコード解析入門とそのDFIRハンドリング」のビギナーズとアドバンスのワークショップを続けて2023年のSECCON全国大会の現地でそのアドバンス2講義を行う予定となります。本ワークショップについて、前回一緒に学びましたシェルコード内容の続き、実用的な講義になり、三つの講義テーマを考えております。①最近よく発見したシェルコードの解析方法、②intel/amd cpu外のシェルコード(IoT/ICS向け)の解析方法③radare2 とIDAフリー版を使いシェルコードを解析する方法参加される方は,無線LANが使用可能なノートPCをご持参ください。より詳細な説明はこちら
D1-W4
2月11日(土)17:00-18:00
第3回 SECCON 2022 Contest of Contest
講師
SECCON Contest運営チーム
概要
何らかの独自性のある競技やコンテストの企画案と設計案をCFC(Call for Contest)として募集しました。応募された提案の紹介と審査結果の発表、表彰を行います。
D2-W1
2月12日(日)10:00-12:00
【学生限定】NECセキュリティスキルチャレンジ (CTF)
講師
日本電気株式会社サイバーセキュリティ戦略統括部 リスクハンティング・システムグループ 榊龍太郎, 日本電気株式会社サイバーセキュリティ戦略統括部 セキュリティ実装技術グループ 中川紗菜美
概要
NECグループでは社内セキュリティ人材の発掘・育成を目的に、年に1度社内CTF「NECセキュリティスキルチャレンジ」を実施しています。今回、実際にコンテストで出題した問題の中から、いくつかの問題を解いていただきます。各問題は、NECのセキュリティプロフェショナルが実務経験を基に作成しています。セキュリティに興味のある方の挑戦をお待ちしております!
※参加対象は、セキュリティやCTFに興味のある高専生、大学生および大学院生の方となります。
※参加される方は、無線LANが使用可能なノートPC(Windows、macOS、Linux)を持参してください。
D2-W2
2月12日(日)12:00-14:00
Windowsイベントログ解析入門
講師
田中ザック / Zach Mathis(大和セキュリティ勉強会),SECCON Workshop 運営チーム
概要
本ワークショップでは、大和セキュリティメンバーが開発しているHayabusaツールを利用して、Windows DFIR (Digital Forensics & Incident Response)と脅威ハンティングで最も重要なフォレンジックアーティファクトであるWindowsイベントログにある攻撃の痕跡をどのように特定し、トリアージするのかを解説します。実際にこれらをハンズオンで体験して頂くため、無線LANが利用可能なWindowsのホストOSもしくは仮想マシンをご用意下さい。より詳細な説明はこちら
D2-W3
2月12日(日)14:00-16:00
【学生限定】インシデントレスポンス調査体験(CTF形式/チーム戦)
講師
SBテクノロジー(株)インシデントレスポンスチーム
概要
SBテクノロジーでは、日々発生するセキュリティインシデントに対して、調査や検知・対応・報告と一連の流れを支援するサービスを提供しています。本ワークショップは、こうしたノウハウを活かし、オリジナルで開発した実践型のインシデントレスポンス演習プログラムです。侵害の流れを踏まえて、"点"ではなく"面"で考えることで正解を導き出す形になっていますので、普段のCTFとは一味違う内容を楽しんでいただけるのではないかと思います。チームを組んでWindows環境への調査を行いますので、ぜひ参加者の皆さん同士の交流も楽しんでください。Azure環境のIDを発行するため、必ず事前登録(2ステップ)が必要です。⇒より詳細な説明はこちらをご確認ください!

ACCESS

会場アクセス
浅草橋ヒューリックホール&カンファレンス
〒111-0053 東京都台東区浅草橋1-22-16
ヒューリック浅草橋ビル 2階 ヒューリックホール / 3階 カンファレンスルーム