SECCON 2022 電脳会議

2023.2.11 (Sat.) - 12(Sun.) in 浅草橋ヒューリックホール＆カンファレンス

2月11日（土）12日（日）2日間にわたり、SECCON CTF決勝（国際・国内）、およびセキュリティコンテスト参加を目指す人、セキュリティ技術者を目指す人向けのイベントを「SECCON2022 電脳会議」として開催します。
SECCONでは、運営・スポンサー・競技者・参加者などSECCONに関わる全ての人にSECCON COVID-19 ポリシーを遵守して頂き、開催します。

Floor Guide
＜浅草橋ヒューリックホール＆カンファレンス＞

Time Table

Day1
2023.2.11(sat)
Day2
2023.2.12(sun)

	２階ヒューリックホール		３階ヒューリックカンファレンス
Time	SECCON CTF	Hall Stage	Room 0 / Talk	Room 4 / Workshop
10:00	10:00-18:00 SECCON CTF 2022 Finals CTF	D1-S1	D1-OP 10:00-10:20 オープニング	D1-W1 10:00-12:00 SECCON Beginners Workshop
10:00		D1-S1	D1-T1 10:20-11:00 基調講演猪俣敦夫
		D1-S2	D1-T1 10:20-11:00 基調講演猪俣敦夫
11:00		D1-S3	D1-T2 11:00-11:30 SDR (Software Defined Radio) を使った無線の解析江草陽太
		D1-S4	D1-T3 11:30-12:20 Hack the Real Box: APT41’s New Subgroup, Earth Longzhi Hiroaki Hara and Ted Lee
12:00

13:00		D1-S5	D1-T4 13:00-18:00 BSides Tokyo	D2-W2 13:00-15:00 CTF for GIRLS Wrokshop
		D1-S6
14:00		D1-S7
		D1-S8
15:00		D1-S9		D1-W3 15:00-17:00 シェルコード解析入門とそのDFIRハンドリング
		D1-S10
16:00		D1-S11
		D1-S12
17:00		D1-S13		D1-W4 17:00-18:00 第3回 SECCON 2022 Contest of Contest
		D1-S14		D1-W4 17:00-18:00 第3回 SECCON 2022 Contest of Contest

CTF２階ヒューリックホール

CTF

DAY1：2月11日（土）10:00-18:00 /
DAY2：2月12日（日）10:00-17:00

SECCON CTF 2022 International Finals

24時間にわたる世界規模のオンライン予選を勝ち抜いた国内・国外のチームが集結。

LOGO	Team Name	Region	Profile
	organizers		A team forged by the memes, for the memes, 0rganizers turns cyber security into cyber mystery.Since the days of yore, the winds have whispered of the 0rganizers, of their exceptional ability at random guesses, of them somehow still getting flags.Masters of the unknown, never quite not unprepared, they have a legacy of conquering challenges with nothing but the finest Swiss cheese.Commonly referred to as "the ultimate wildcard", "the embodiment of disorganisation", and "mostly intoxicated".No opponent ever knows what to expect.
	perfect blue		This is perfect blue, an American team which looks international.We're glad to be invited for the finals!
	DiceGang		// Excerpts from GPT-Neo trained on the DiceGang discord: hello! We are a team of 15 engineers working in the crypto space: backend, server, and clients. We believe that we can become a leading player in the space by working together and together we will be able to solve any challenge that comes our way. In short, DiceGang is not about solving chutes and ladders. But it is about solving hard, unsolved problems. Wait does DiceGang use code? Like DiceGrid. We have a code repository literally 5 years old. We wrote our own language, it's basically an all-in-one probabilistic ag-school. Yeah, I'm not sure exactly what it's called but it's basically a crazy base 7 web that contains a calendar and a zoomer bot. DiceGang, DiceGrid, and DiceDynasty.
	Super Guesser		We are the people who are always guessing something.
	hxp		Our team is comprised of a random assortment of college outcasts, united by the hate for terrible tooling and the love for beer (and pwns). CV see: https://hxp.io/about/ , current employment: https://2022.ctf.link/
	AAA		The AAA team is a self-organized group of information security enthusiasts from Zhejiang University, supported by the School of Computer Science and Zhejiang University, and supervised by three teachers, Bai Honghuan, Zhou Yajin and Chang Rui. Each member of the team has an unparalleled love of information security, so they are always full of passion about the CTF games. The AAA team consists mainly of undergraduates from the Zhejiang University Computer Institute and other colleges. Over the generations, the first generation of AAA members has been scattered across the country, become the backbone of the security sector everywhere. AAA team in a series of major competitions at home and abroad have obtained excellent results. Domestically, AAA team has won the 2016 ZCTF champion, the 2017 Rising Star Champion, the 2017 WHCTF champion, and the 2017 national championship of the University Network Information Security Management and Operation Challenge, as well as the 2021 Fifth Strong Tennis Cup finals grand prize and the best university honor. Internationally, the AAA team was a finalist in Japan's SECCON CTF finals in 2016,2017 and 2019, and in Korea's CODEGATE CTF finals in 2018 and 2019, from 2017 to 2020, AAA joined forces with Tencent, Shanghai Jiao Tong University and Fudan University to participate in the DEFCON CTF Global Finals and win the championship in 2020.
	TSG		A group of students at the University of Tokyo, interested in computer science, mathematics, and other.
	Straw Hat		Straw Hat is an international CTF team composed of CTF enthusiasts, founded in early 2022. Straw Hat has achieved many accomplishments in CTF competitions, including 7th place in the 2022 DEF CON CTF. Team members have also participated in hacking competitions such as Pwn2Own, and have given speeches at security conferences such as HITCON and Blackhat.
	Cha Shu		Young and Super Power Korean Hackers.
	KMA.L3N0V0 (Invitation) Winner of CyberSEAGame		We are student of Vietnam academy of cryptography techniques

CTF

DAY1：2月11日（土）10:00-18:00 /
DAY2：2月12日（日）10:00-17:00

SECCON CTF 2022 Domestic Finals

24時間にわたる世界規模のオンライン予選を勝ち抜いた国内・国外のチームが集結。

LOGO	Team Name	Profile
	KUDoS	KUDoS. Not KuDoS.
	_(-.- _) )_	這ってでも旗を取りに行く気概
	ids-TeamCC	私たちのチームは、とても大きな樹の元でソリュっとクリエイトしている人々を中心に構成されています。その樹はなんともふしぎな木で、見たこともない花を咲かせるそうです。
	TokyoWesterns	TokyoWesternsは日本のCTFチームです。かつては国外を含めさまざまなCTFに参加していましたが、現在はほとんどのメンバーが社会人になったため積極的に活動していません。
	traP	東工大焼肉同好会traP(実際に、牛を罠にかけることからtraPと呼ばれている) 打ち上げ@4 浅草橋駅前の「焼肉BASE 架」（行きたいチームいたら声かけてください）
	Double Lariat	三 ⊂二二二（　＾ω＾）二二⊃ﾌﾞｰﾝ
	AERO SANITY	某サイバーセキュリティ企業の有志によるチームです。(っˊᵕˋ)╮=͟͟͞͞🍣
	Team Enu	電話会社の旗取同好会
	chocorusk	1年ほど前からCTFに参戦し始めたchocoruskです。以前は競技プログラミングをやっていました。予選にはソロで参加しましたが、決勝ではチームDCDCの方々が加わってくれることになったので、勝ちを狙っていきたいと思います。よろしくお願いします！
	parabola0149	いっけなーい😵！遅刻遅刻💦！私、parabola0149。どこにでも居る至って普通の大学院生（博士前期課程）！でもある時SECCON CTF 2022 Finalsへ参加決まっちゃってもう大変😭！しかもチームの仲間が全然いない！？一体私、これからどうなっちゃうの〜😭😭！？！？！？
	カタパルト (Invitation)	SECCONのため学生全体から選りすぐり構成されたドリームチームです。各々の進路の関係上同じメンバーは二度と集まれません。このメンバーで全国大会という大舞台に出場できることに感謝し、そして良い成績を残せるよう頑張ります！
	路肩 (Invitation)	道路の肩です。

Hall Stage２階ヒューリックホール

スポンサーによる短いプレゼン、CTFの解説等のステージです。スケジュールされていないLTが入ることもあります。

Day1

2月11日(土)

セッション番号	時間	発表者
D1-S1	10:00-10:30	TBA
D1-S2	10:30-11:00	TBA
D1-S3	11:00-11:30	TBA
D1-S4	11:30-12:00	TBA
D1-S5	13:00-13:30	TBA
D1-S6	13:30-14:00	TBA
D1-S7	14:00-14:30	TBA
D1-S8	14:30-15:00	TBA
D1-S9	15:00-15:30	TBA
D1-S10	15:30-16:00	TBA
D1-S11	16:00-16:30	TBA
D1-S12	16:30-17:00	TBA
D1-S13	17:00-17:30	TBA
D1-S14	17:30-18:00	TBA

Day2

2月12日(日)

セッション番号	時間	発表者
D2-S1	10:00-10:30	TBA
D2-S2	10:30-11:00	TBA
D2-S3	11:00-11:30	TBA
D2-S4	11:30-12:00	TBA
D2-S5	13:00-13:30	TBA
D2-S6	13:30-14:00	TBA
D2-S7	14:00-14:30	TBA
D2-S8	14:30-15:00	TBA
D2-S9	15:00-15:30	TBA
D2-S10	15:30-16:00	TBA
D2-S11	16:00-16:30	TBA
D2-S12	16:30-17:00	TBA

Room 0３階ヒューリックカンファレンス

2月11日（土）10:00-10:20

オープニング

登壇者

SECCON Committee Member

D1-T1

2月11日（土）10:20-11:00　

基調講演

登壇者

猪俣敦夫

プロフィール

大阪大学教授、立命館大学客員教授、一般社団法人JPCERT/CC理事、一般社団法人公衆無線LAN認証管理機構代表理事、大阪府警察・奈良県警察サイバーセキュリティアドバイザ

概要

学際的とも言われるサイバーセキュリティの世界、この分野に興味を持ったほとんどの若手の方は技術的関心が高く、そうしたキッカケがとても重要であることには間違いない。とはいえこの世界に十数年浸かると、実のところ法律や監査といったようなマネジメントや組織論など幅広い視点で学ぶことが実に多い領域であることに気付かされる。本講演では、私がこの点において伝えたいことを自身が教育・研究者という立場でどのような経緯を辿り今に至ってきたのかを「リバースエンジニアリング」の観点から私が解析・実装した「レガシー」な事例を取り上げて、あらためてサイバーセキュリティを幅広く学んでいただく気付きを与えたい。

D1-T2

2月11日（土）11:00-11:30　

SDR (Software Defined Radio) を使った無線の解析

登壇者

江草陽太 (さくらインターネット株式会社 CIO/CISO 兼執行役員技術推進統括担当)

プロフィール

大阪府出身。洛星中学・高等学校時代にロボット研究部を立ち上げる。ロボカップジュニアなどの大会に出場。その後大阪大学工学部電子情報工学科に進学。NHK大学ロボコンに出場。学生時代より個人事業としてシステム開発やISMS取得などのセキュリティコンサルタントを行う。2014年10月、さくらインターネットに新卒入社。2016年7月、執行役員に就任。現在は社内全体の技術推進と情報セキュリティを統括。ネットワーク、データベース、情報セキュリティスペシャリスト。

概要

SDRを用いて無線通信の受信や解析を行うことで、一般に販売されていない通信方式についても受信することが可能となっています。現在では2.4GHzを超え6GHzちかくまでのサンプリング周波数のSDRフロントエンド (送受信装置) も容易に手に入るようになってきました。今回は5.8GHz帯を利用しているETCを題材にSDRをつかった受信の実例をご紹介します。

D1-T3

2月11日（土）11:30-12:20　

Hack the Real Box: APT41’s New Subgroup, Earth Longzhi

登壇者

Hiroaki Hara and Ted Lee

プロフィール

Hiroaki Hara focuses on threat intelligence research in the Asia-Pacific region. He specializes in threat hunting, incident response, malware analysis, and targeted attack research. He spends most of his time coming up with funny names for newly found pieces of malware. He has previously presented at JSAC 2021/2022 and HITCON 2022. Ted Lee mainly focuses on tracking APAC-based advanced persistence threat (APT) attacks and malware research. He also works as a malware/intelligence analyst to support incident response (IR) case analysis in Taiwan. He has previously published research topics on HITCON 2022 and CyberSec 2022."

概要

The activity of APT41, since the prosecution by United States in 2020, is getting more complex, not only in the perspective of its TTPs but also attribution. In 2021, multiple security vendors disclosed new campaigns by several subgroups of APT41, such as Earth Baku, Sparkling Goblin, Blackfly, Amoeba and GroupCC, which is becoming chaotic. Unfortunately, we will add one more subgroup into this hall of (in)fame, which we call as Earth Longzhi.

Earth Longzhi has several overlaps with existing APT41's subgroups based on code reuse and TTPs, but their long-running activities have not been fully revealed yet. As we observed, Earth Longzhi has been active since at least early 2020, and continues to change its targets and TTPs from time to time. Through analysis of their activity, we discovered that there are two major campaigns.

In the first campaign, we observed from 2020 to early in 2021, they targeted several government entities in Taiwan with custom Cobalt Strike loader, which we call as Symatic, and custom hacking tools. The loader used in this campaign implement several RedTeam-like techniques: ntdll.dll unhooking for bypass AV and usage of uncommon API "EtwpCreateEtwpThread" for thread execution.
In the second campaign, we have observed from August in 2021 to March in 2022, they targeted mainly high profile victims of Defense and Aviation sector in multiple regions including Taiwan, China, Thailand, Malaysia, Indonesia, Pakistan and Ukraine. The attack that appear to target Ukraine were prepared around December 2021, a few months before the Russia's invasion of Ukraine began, which is particularly noteworthy from a geopolitical perspective. In this campaign, in addition to the intrusion method via exploitation against public-facing application which is heavily used by other subgroups of APT41, they used spearphishing emails to directly reach out high profiled individuals in target company. Regarding tools, we observed various types of custom Cobalt Strike loaders: CroxLoader, BigpipeLoader, MultipipeLoader and OutLoader. These loaders implement several unique anti-analysis techniques: exception-based control flow and multi-threading payload decrypting. The final payload of these loaders is Cobalt Strike, but it adopts domain fronting abusing Fastly CDN to hide actual C&C server. Adding to them, we found two anti-AV/anti-EDR tools, ProcBurner and AVBurner. Both tools utilize a vulnerable driver "RTCore64.sys" to bypass AV/EDR monitoring, which technique is so-called Bring Your Own Vulnerable Driver (BYOVD).

In this presentation, through the technical details of the above two campaigns by Earth Longzhi, we will reveal how they has been changing their TTPs to bypass detections. And adding to that, we will describe the detail process of "how we attributed". With the analysis of similarity of each loaders, Cobalt Strike's configuration and overlaps of TTPs, we concluded that the several incidents belong to single actor. We believe that sharing the attribution process, not only technical details of malwares, will help other security researchers in future.

D1-T4

2月11日（土）13:00-13:30　

BSides Tokyo

登壇者

BSides Tokyoのプログラム詳細はこちら
https://bsides.tokyo/2023/index.html

プロフィール

概要

BSides Tokyoのプログラム詳細はこちら
https://bsides.tokyo/2023/index.html

2月12日（日）10:00-10:05

オープニング

登壇者

SECCON Committee Member

D2-T1

2月12日（日）10:05-11:00

「国家安全保障戦略」の能動的サイバー防御の法的含意

登壇者

高橋郁夫

プロフィール

株式会社ITリサーチ・アート代表取締役弁護士

概要

令和４年１２月１６日、日本国の国家安全保障会議及び閣議は、「国家安全保障戦略」等を決定している。そこでの安全保障関連3文書のうち、「国家安全保障戦略」は、「能動的サイバー防御を導入」するとしている。しかしながら、新聞報道等においては、これが、具体的にどのようなサイバー・オペレーションを意味しているのかといった具体的な分析はなされていない。本講演では、「国家安全保障戦略」で想定されている具体的なオペレーションが、誰による、どのようなものであるかを分析するとともに、それを実現に移す際の法的な問題点を概観する。

D2-T2

2月12日（日）11:00-11:30

NDR/XDR/脅威インテリジェンス最先端ー SECCON 2022ライブデータの事例

登壇者

シスコシステムズ合同会社エバンジェリスト/アーキテクト木村滋、シスコシステムズ合同会社エバンジェリスト/アーキテクト二宮瑞樹

プロフィール

木村滋：テクニカルアーキテクト/エバンジェリスト　セキュリティソリューション専任技術担当として、大手データセンター/キャリアビジネスのプロジェクトを中心にサポート、ゼロトラスト、SASE、XDR等テクノロジ普及活動に従事、Cisco Security Trust Office 兼務 CCIE#19521 NPO法人日本ネットワークセキュリティ協会（JNSA）幹事、デジタル庁次世代セキュリティアーキテクチャ検討会委員、NISC クラウドを利用したシステム運用に関するガイダンスレビュワー等
二宮瑞樹：テクニカルアーキテクト/エバンジェリストセキュリティソリューションXDR専任技術担当としてXDR等テクノロジ普及活動や幅広いお客様への提案活動に従事 CCIE#54670D

概要

Ciscoは今競技開催にて競技会場とバックボーンを支えるネットワーク機器の機材提供ベンダーとして参加させていただいております。今回の提供インフラである、Catalyst 9000 スイッチ、Catalyst 8000 エッジルータとの連携による、セキュリティ監視のプラットフォームとしてのネットワーク振る舞い監視ソリューション NDR/XDR の効果事例について、本会場の傾向も含め解説します。

D2-T3

2月12日（日）11:30-12:30

KaliPAKU 初心者向けペネトレーションテストツール

登壇者

Mr.Rabbit

プロフィール

セキュリティインストラクターをしつつ、ペネトレーションテストに関するツールを作成。過去にBlackHat Asia Arsenal やSECCON YOROZUで発表。CISSP

概要

KaliPAKUは、ペネトレーションテストの半自動化ツールです。テンキーだけを使い、ゲーム感覚で複雑なコマンドやオプションを学び、一連の侵入試験ができます。まず最初は、慣れることが大切で、数字の組み合わせだけでコマンドを実行し、体験し、学習します。次のステップは、理解すること。このツールでは、実行するコマンドやオプションのヘルプを表示します。その内容を少しずつ覚えていくことで、プレイヤー自身のスキルアップに繋げる事ができます。最後は実戦練習です。KaliPAKUは、手動でのコマンド入力にも対応しています。これまで使ったコマンドのヘルプを確認し、実際にコマンドを手動入力して侵入試験を行えます。

D2-T4

2月12日（日）13:00-13:30

An Analysis on the Recent Malicious Documents and Their Techniques

登壇者

Chun-Chia Huang

プロフィール

A CS student and CTF player interested in security, currently working as a security research intern at Cycraft.

概要

Malicious file-based attacks have been a persistent threat for many years, and recent serious vulnerabilities such as CVE-2021-40444 and CVE-2022-30190 (Follina) have only exacerbated the problem. These vulnerabilities have allowed malicious files to become even more widespread and effective at causing harm. In this talk, we will delve into the world of malicious file attacks and provide an analysis of several examples from the past six months. We will examine the different types of documents and techniques used by attackers, including the use of known vulnerabilities such as the aforementioned CVEs and common exploitation methods. We will also explore the evasion techniques employed by attackers in order to bypass security measures and avoid detection. By understanding these patterns, we hope to provide key points for consideration when detecting and scanning for malicious files.

D2-T5

2月12日（日）13:30-14:00

MWS Cupにおける実践的なDFIRコンテスト問題の作成

登壇者

保要隆明

プロフィール

株式会社エヌ・エフ・ラボラトリーズ所属。普段はセキュリティ教育プラットフォームの開発や攻撃者目線での研究開発業務に従事している。MWS Cupにおいては、2019年から作問に携わり、2020年からDFIR問題の主担当を務めている。GCIH,GCFA,GNFA,GREM,OSCP,OSEP。NTTグループセキュリティプリンシパル。

概要

マルウェア対策研究人材育成ワークショップ（MWS）内で開催されるコンテスト MWS Cupでは、EDRやProxyのログを分析し、どのようなサイバー攻撃が行われたか明らかにするDFIR問題を出題している。問題の作成にあたっては、現実のサイバー攻撃を再現することを意識し、参加者が実践的なスキルや知識が得られるようにいくつかの工夫を凝らしている。本講演では同様のコンテストの開催を検討している方の一助となるよう、MWS Cup DFIR問題の作問プロセスを共有するとともに、どのような工夫をしたか、作問にあたってどのような課題があったかを共有する。

D2-T6

2月12日（日）14:00-15:00

Next Generation Sandbox with A Little Help From Machine Learning

登壇者

Wei-Chieh Chao and Yi-Hsien Chen

プロフィール

Wei-Chieh Chao is a security researcher of the Research Team of CyCraft. He focuses on research on Sandbox Technology and Malware Analysis. He graduated from National Taiwan University with master degree in Cyber Security. He has published his works on IEEE DSC . He was a speaker of HITCON, CodeBlue, and CyberSec. In addition, he is also a member of the BambooFox CTF team at NCTU and has participated in several CTFs, and won 12th, 2nd in DEFCON 26, 27 with BFS, BFKinesiS CTF team. Yi-Hsien Chen is a Ph.D. candidate in the Department of Electrical Engineering, National Taiwan University, and a security researcher of the CyCraft research team. His researches focus on automatic malware analysis techniques. He tries to utilize symbolic execution, machine learning, and several static analysis techniques to enhance malware analysis speed. He has published his works on IEEE DSC and ACM ASIACCS. He was also a speaker of HITB CyberWeek, AVTokyo, HITCON, and Codeblue. Furthermore, he is a member of the BambooFox CTF team from NCTU, participated in several CTFs, and won 12th, 2nd in DEFCON 26, 27 with BFS, BFKinesiS CTF team.

概要

Innumerable malicious programs are captured daily, and in our case, with static analysis and rule-based scanning, hundreds of them are still worth investigating. Regardless, it's still an unaffordable number for reverse engineering. Thus, automatic dynamic analysis plays an essential role in quick filtering and brief analyzing. A sandbox is a common tool for examining and analyzing an unknown program. It can give malware analysts an overview of a program, including what it did, which family it is related to, how it infects other machines, etc. With it, we can quickly figure out the viral parts and decide if it is worth furtherly reversing. In this talk, we point out three problems with sandboxes. Firstly, some malware is capable of detecting sandbox environments, and they would stop performing malicious operations to prevent being caught. Therefore, successfully executing them would prove difficult. We will share a case in this topic where malformed executables can make our dynamic analysis fail and how we can solve this problem. Secondly, how can we utilize artifacts from sandboxes to determine their families and what ATT&CK techniques they use? We collected strings and API usage in both static and dynamic methods and then used pre-defined rules to mark them. In addition, we proposed a machine learning-based approach to finding the implicit relationship among artifacts. Furthermore, they can be fed back to update the rules. Lastly, the reports from sandboxes are usually too complicated to read, and malware analysts need to use their domain knowledge and experience to figure out the critical parts. To deal with it, we leveraged elasticsearch and sigma rules to help enhance the analyzing speed and develop analyzing tools. We will introduce our sandbox and detailed methodologies to solve these three problems in this talk.

D2-T7

2月12日（日）15:00-15:30

実践的なセキュリティ人材育成の取り組み

登壇者

日立ソリューションズ・クリエイト　セキュリティビジネス本部部長　上野貴之／日立ソリューションズ　セキュリティサイバーレジリエンス本部シニアセキュリティアナリスト　米光一也

プロフィール

上野貴之（株式会社日立ソリューションズ・クリエイト）CISSP　2003年に入社しセキュリティ製品の開発に従事。その後、セキュリティ事業の立ち上げに参画し、セキュリティ診断、セキュリティ教育、CSIRT支援、セキュリティソリューション企画などを担当。また、日立グループ内の社内セキュリティコンテストを企画し、社内のセキュリティ人材の発掘と育成を行っている。社外においても、社会人・学生向けの情報セキュリティ関連の講演、講習講師を通じてセキュリティ人材の育成に貢献。／米光一也（株式会社日立ソリューションズ）CISSP　2000年にプログラマとして入社。同社セキュリティ製品「秘文」のWeb機能の開発リーダや、セキュリティコンサルタントを経て、現在はホワイトハッカーチームのリーダとして活躍する。早稲田大学非常勤講師、情報処理技術者試験試験委員など、日本の次世代のセキュリティ人材育成にも貢献。

概要

サイバー攻撃の手法は巧妙化し、その脅威は増大しています。一方、サイバーセキュリティ対策を行う人財はなかなか育ちません。そこで日立ソリューションズグループで行っているより実践的な高度セキュリティ人財育成の取り組みをご紹介します。

D2-T8

2月12日（日）15:30-16:30

Unveiling the Next Generation of Command-Line Understanding: CmdGPT and Its Unsupervised Embedding Capabilities

登壇者

Sian-Yao Huang and Cheng-Lin Yang

プロフィール

Sian-Yao Huang is a data scientist at CyCraft Technology, where he is primarily responsible for adopting and creating sophisticated deep learning models to solve challenging cybersecurity issues like large-scale multifactorial anomaly detection, automatic AD security analysis, and massive user behavior retrieval. Huang is passionate in investigating any opportunity to use top-notch ML approaches in the field of cybersecurity, and his works have also been published on IJCNN and CVPR, two of the world's leading machine learning conferences. Dr. Cheng-Lin Yang, currently a senior data science architect at CyCraft Technology, received his PhD in Artificial Intelligence from the University of Edinburgh. His research focuses on constructing efficient and effective machine learning workflow and utilizing machine learning techniques to automate detection and response along each phase of the cyberattack kill chain. In his free time, he particularly enjoys analyzing user password patterns.

概要

Command-line plays a crucial role in identifying and analyzing malicious activities in the cybersecurity industry. However, the flexibility of the command-line structure and the existence of unique one-off tokens have posed critical challenges to security experts. In this talk, we will explain the proposed novel model in detail and demonstrate how it associates and attributes the malicious command-line to known attackers. Recently, large-scale pre-trained language models (e.g., ChatGPT and CodeX) have shown an outstanding ability to explain code functionality. Inspired by these works, we propose an unsupervised command-line embedding model, called CmdGPT. The model was trained in two steps. First, we collected lots of command-lines from real-world security incidents that cover attacks on multiple industries, such as semiconductor manufacturers and financial sectors. Then, the data was used to fine-tune the GPT-2 model—one of the most powerful language models publicly available on the Internet. Second, we leveraged the command-line embedding vector generated by OpenAI’s latest text-embedding model, which is a text and code embedding model fine-tuned on GPT3.5. Then, the embedding vector was used as the auxiliary ground truth to fine-tune the CmdGPT with the contrastive learning. In our experiments, we found that CmdGPT could successfully cluster similar command-lines in the feature space, even for the command-lines that have unique file hashes or timestamps. It empirically implies that CmdGPT is more than capable of, at least partially, comprehending the structure and the syntax of both the command-lines and embedding the command-lines in a suitable position of the high-dimensional feature space. Hence, it has allowed us to link unknown command-lines to known attack groups.

Room 4３階ヒューリックカンファレンス

D1-W1

2月11日（土）10:00-12:00

SECCON Beginners Workshop

講師

SECCON Beginners 運営チーム

概要

SECCON Beginners は日本国内の CTF のプレイヤーを増やし、人材育成とセキュリティ技術の底上げを目的としたCTF未経験者向け勉強会です。本ワークショップでは、主に CTF を始めてみたいと思っている方や CTF の大会に出てみたものの難易度が高く問題が解けなかった方、取り組みやすい問題を通して CTF の雰囲気を掴みたいと感じている方を対象に、ガイダンスおよび解説付きの CTF を実施します。みなさまのご参加をお待ちしております。(参加予定の方はノート PC をご持参ください) より詳細な説明はこちら

D1-W2

2月11日（土）13:00-15:00

CTF for GIRLS Workshop

講師

CTF for GIRLS 運営チーム

概要

CTF for GIRLS は情報セキュリティ技術に興味を持つ女性達が、気軽に技術的な質問や何気ない悩みを話しあうことが出来るコミュニティ作りを目的とした団体です。本ワークショップでは、過去のワークショップやCTFで出題した問題を体験いただきます。運営メンバーからの解説も実施いたしますので、セキュリティの勉強に興味がある、CTFにチャレンジしてみたいなと考えている方、ぜひご参加をお待ちしております。CTF4Gの活動をより多くの人に知っていただく為、女性の方に限らず、どなたでもご参加いただけます。(参加予定の方はノート PC をご持参ください) より詳細な説明はこちら

D1-W3

2月11日（土）15:00-17:00

シェルコード解析入門とそのDFIRハンドリング

講師

アドリアンヘンドリック（LACサイバー救急センター・インシデントマネジメントグループ），SECCON Workshop 運営チーム

概要

2021年にSECCONに行った「シェルコード解析入門とそのDFIRハンドリング」のビギナーズとアドバンスのワークショップを続けて2023年のSECCON全国大会の現地でそのアドバンス２講義を行う予定となります。本ワークショップについて、前回一緒に学びましたシェルコード内容の続き、実用的な講義になり、三つの講義テーマを考えております。①最近よく発見したシェルコードの解析方法、②intel/amd cpu外のシェルコード(IoT/ICS向け）の解析方法③radare2 とIDAフリー版を使いシェルコードを解析する方法参加される方は，無線LANが使用可能なノートPCをご持参ください。より詳細な説明はこちら

D1-W4

2月11日（土）17:00-18:00

第3回 SECCON 2022 Contest of Contest

講師

SECCON Contest運営チーム

概要

何らかの独自性のある競技やコンテストの企画案と設計案をCFC(Call for Contest)として募集しました。応募された提案の紹介と審査結果の発表、表彰を行います。

D2-W1

2月12日（日）10:00-12:00

【学生限定】NECセキュリティスキルチャレンジ (CTF)

講師

日本電気株式会社サイバーセキュリティ戦略統括部リスクハンティング・システムグループ榊龍太郎, 日本電気株式会社サイバーセキュリティ戦略統括部セキュリティ実装技術グループ中川紗菜美

概要

NECグループでは社内セキュリティ人材の発掘・育成を目的に、年に1度社内CTF「NECセキュリティスキルチャレンジ」を実施しています。今回、実際にコンテストで出題した問題の中から、いくつかの問題を解いていただきます。各問題は、NECのセキュリティプロフェショナルが実務経験を基に作成しています。セキュリティに興味のある方の挑戦をお待ちしております！
※参加対象は、セキュリティやCTFに興味のある高専生、大学生および大学院生の方となります。
※参加される方は、無線LANが使用可能なノートPC（Windows、macOS、Linux）を持参してください。

D2-W2

2月12日（日）12:00-14:00

Windowsイベントログ解析入門

講師

田中ザック / Zach Mathis（大和セキュリティ勉強会），SECCON Workshop 運営チーム

概要

本ワークショップでは、大和セキュリティメンバーが開発しているHayabusaツールを利用して、Windows DFIR (Digital Forensics & Incident Response)と脅威ハンティングで最も重要なフォレンジックアーティファクトであるWindowsイベントログにある攻撃の痕跡をどのように特定し、トリアージするのかを解説します。実際にこれらをハンズオンで体験して頂くため、無線LANが利用可能なWindowsのホストOSもしくは仮想マシンをご用意下さい。より詳細な説明はこちら

D2-W3

2月12日（日）14:00-16:00

【学生限定】インシデントレスポンス調査体験(CTF形式/チーム戦)

講師

SBテクノロジー(株)インシデントレスポンスチーム

概要

SBテクノロジーでは、日々発生するセキュリティインシデントに対して、調査や検知・対応・報告と一連の流れを支援するサービスを提供しています。本ワークショップは、こうしたノウハウを活かし、オリジナルで開発した実践型のインシデントレスポンス演習プログラムです。侵害の流れを踏まえて、"点"ではなく"面"で考えることで正解を導き出す形になっていますので、普段のCTFとは一味違う内容を楽しんでいただけるのではないかと思います。チームを組んでWindows環境への調査を行いますので、ぜひ参加者の皆さん同士の交流も楽しんでください。Azure環境のIDを発行するため、必ず事前登録（2ステップ）が必要です。⇒より詳細な説明はこちらをご確認ください！

ACCESS

会場アクセス

浅草橋ヒューリックホール＆カンファレンス
〒111-0053　東京都台東区浅草橋1-22-16
ヒューリック浅草橋ビル　2階ヒューリックホール／ 3階カンファレンスルーム

SECCON 2022 電脳会議

Floor Guide ＜浅草橋ヒューリックホール＆カンファレンス＞

Time Table

CTF２階ヒューリックホール

Hall Stage２階ヒューリックホール

Room 0３階ヒューリックカンファレンス

Room 4３階ヒューリックカンファレンス

ACCESS

Floor Guide
＜浅草橋ヒューリックホール＆カンファレンス＞