Taidoor，又名台門或 Earth Aughisky，是活躍已經超過十年的攻擊團體，曾經非常專情於攻擊台灣相關目標，不過卻在 2018 前後變了心

這次的分享不會著墨太多在技術分析，而是回顧 Taidoor 的歷史與近況，介紹從該組織的崛起與轉變，一路到看似銷聲匿跡.

希望聽眾參加完之後，能夠對 Taidoor 整體的背景有所了解

近年來針對 Windows RPC 的攻擊與日俱增，軟體開發的過程中，我們常常以遠端進程通訊 (Remote Process Communication；RPC) 作為軟體間傳遞訊息的通道，然而當開發者在使用 Windows API 的時候往往沒注意到底層 MS-RPCE 的權限管理，甚至是微軟官方在基於 MS-RPCE 介面所開發的系統服務也不乏有這類型的漏洞。

這些漏洞發生的成因往往是因為開發者沒有完整理解 Windows 提供的這些複雜的使用者權限管理，導致開發過程中沒有妥善管理使用者權限，造成漏洞的發生層出不窮。

此議程將逐個分析從滲透測試中常用的各種以 Potato 為命名的工具，解析可以透過 MS-RPCE 漏洞所產生的攻擊手法，並提出對應的 Mitigation，以及如何檢視缺乏妥善權限管理的 MS-RPCE 介面。

隨著 Linux 系統越來越普及，Linux 上的惡意程式或是勒索軟體也逐漸出現；在本議程中，我們將介紹 Linux malware 的影響範圍，以及如何開始 Linux Threat Hunting ，以及了解 Linux 上 Threat Hunting 的必要性。

第二部份我們將介紹 Threat Hunting 的工具及方法，分享如何透過 Linux Threat Hunting 了解惡意程式的行為及目的，並比較其與在 Windows 上做 Threat Hunting 的差別或是困難之處。最後，我們會探討該怎麼從中汲取有用的情報以加強後續防禦的強韌性。

以惡意文件為前導的攻擊行為盛行已久，近年爆出的嚴重漏洞 CVE-2021-40444 和 CVE-2022-30190 (Follina) 亦使得惡意文件更加猖獗。在此議程中，我們將分析這半年內的近百個惡意文件樣本，探討其所利用的 CVEs、常見利用手法和 evasion 方式等，進而指出近期惡意文件漏洞利用手法的趨勢，並據此提出偵測、掃描惡意文件時應注意的重點。

在網路安全領域，針對特定目標的魚叉式釣魚攻擊變得越來越普遍和危險。自從 2022 年 3 月以來，我們一直在密切監控全球政府、學術、基金會和研究等部門遭受的魚叉式釣魚攻擊浪潮。這種廣泛的有針對性的攻擊不僅影響到緬甸、澳大利亞、菲律賓、日本和台灣等國家，還波及許多其他地區。

在調查過程中，我們發現了幾個惡意程式，包括 TONEINS、TONESHELL 和 PUBLOAD 等，這些惡意程式被認為與一個臭名昭著的高級持續性威脅 (APT) 組織 Earth Preta 有關，也被稱為 Mustang Panda 和 Bronze President。普遍相信這個 APT 組織是由一個國家支持的，他們的戰術、技巧和程序非常精密。

近期，我們發現這些魚叉式釣魚攻擊者的策略變得更為創意和複雜。他們正在積極更改其策略、技巧和程序以繞過安全解決方案，這使得安全專家很難檢測和防禦他們的攻擊。此外，我們還發現攻擊者正在使用一些有趣的工具進行數據外洩，這可能使追踪他們的活動變得更加困難。

隨著我們繼續調查這些攻擊，我們將分享這次攻擊的技術細節，以幫助企業組織更好地了解他們所面臨的威脅的性質和範圍，採取必要措施加強其網路安全防護，以防止任何潛在的入侵。

自從 DSE (Driver Signature Enforcement) 機制出現後，任何要載入 Windows Kernel 的驅動程式都需要合法的數位簽章。作為對應的攻擊，近幾年 BYOVD (Bring Your Own Vulnerable Driver) 類型的攻擊案例數量上升。APT 武器化市面上有漏洞或可利用的驅動程式，在取得系統權限後載入，接著攻擊它，藉此繞過防毒軟體、取得 Kernel 執行權、埋後門維持權限等等。議程中將會分享那些曾經被惡意程式武器化的驅動程式是如何被濫用的，以及此類型攻擊的目的，最後提供驅動程式開發商與系統管理員針對此種攻擊的防禦建議。

APT 組織是一種特殊的網路攻擊勢力，通常由國家級或企業級的組織所組成。APT 的名稱源於它們的高度先進的攻擊手法，通常使用高精度、低偵察的方式進行攻擊，目標通常是獲取機密訊息或破壞系统。近期，我們遇到了幾起引起關注的 APT 攻擊個案。這些 APT 組織的攻擊型態近幾年來有了明顯的變化。在本議程中，我們將使用 MITRE ATT&CK 框架來揭示這些變化，並討論它們對防禦策略的影響。面對 APT 組織的攻擊，企業和個人都需要採取適當的防禦措施。我們將提供一些有用的建議，幫助您在遇到 APT 攻擊時保持警惕。

APT41 自 2020 年被美國起訴以來，其活動變得更加複雜，不僅在 TTP 方面，而且在歸因方面也變得更加困難。在 2021 年，多家資安廠商披露了 APT41 的幾個子組織（如 Earth Baku、Sparkling Goblin、Blackfly、Amoeba 和 GroupCC）的新威脅活動，這使得情況更加混亂。不幸的是，我們將再加入一個子組織到這個（惡名昭彰的）名人堂中，我們將其稱為 “Earth Longzhi”。Earth Longzhi 基於代碼重用和 TTP，與現有的 APT41 子組織存在一些重疊，但他們長期的威脅活動還沒有被完全揭露。據我們觀察，Earth Longzhi 自 2020 年初以來一直活躍，並不時改變其目標和 TTP。通過分析他們的威脅活動，我們識別了從 2020 年到 2022 年的兩個重大威脅活動。在這個演講中，通過 Earth Longzhi 的兩個威脅活動的技術細節，我們將揭示他們如何運用 TTP 進行活動以繞過檢測。除此之外，我們還將描述“我們如何進行歸因”的詳細過程。我們認為，分享歸因過程，而不僅僅是惡意程式的技術細節，將有助於未來其他安全研究人員。

中國水軍是中國政府在網路上的重要力量，其目的是透過在網路上的宣傳和操作，對其他國家的政治、經濟和社會等方面造成影響。對於台灣來說，中國水軍的操作對台資訊戰具有重要的影響。

TeamT5 的研究發現中國 APT 透過監控和攻擊台灣的網路，破壞台灣的網路安全和資訊系統。與此同時，我們的情資也顯示中國水軍利用社交媒體等平台散佈假消息、誹謗台灣政府和煽動仇恨情緒，以達到干擾台灣政治和社會穩定的目的。我們相信，中國政府可以利用上述攻擊手段嘗試對台灣的網路與社交媒體帳號進行監視、駭客攻擊、假新聞洗版等手段，最終對台灣社會造成衝擊。

因此，台灣需要加強對網路安全的防範，加強網路監控和打擊網路犯罪。TeamT5 觀測到中國網軍對台資訊戰的操作具有嚴重性和複雜性而且一直在進化，所以台灣必須持續更新相關的威脅情資。同時，台灣民眾也需要提高對於假消息的警覺性，不輕易相信來路不明的訊息，以免被中國水軍操作所影響。

近年來，各式新型態的詐騙和釣魚不斷興起，即便政府單位和資安廠商強調，面對此類攻擊必需小心再三，然而因為各家廠商在日常辦公軟體的實作上，不是未依循制定的標準實作，就是在實作自家專屬功能時，對於安全的要求不足，以致於讓攻擊者能夠構造出更為貼近日常文件或邀請，讓收害者受騙上當。無論 IT 或是 OT 場域，皆無法置身事外，因為一但遭受攻擊，不僅造成財產損失，甚而造成生命危險，不可不慎。

在本次的演講中，我們將從與使用者切身相關的行事曆網路協定著手，接下來我們會揭露攻擊者如何利用規格或是軟體本身實作的漏洞，建構出幾可亂真的釣魚文件，對使用者進行社交工程郵件攻擊。最後針對此類的攻擊，我們提出可行的防禦機制，並且再次強調零信任的重要性。

藍隊人員手中常會握有大量的惡意樣本，卻沒有時間能一一仔細分析；或者有感興趣的樣本族群，但手邊的樣本數量卻不夠充足。為了解決這些困擾，此次演講將會介紹一套完整的自動化流程，來協助藍隊人員能更有效率地將這些原始數據轉換成可利用的偵測規則，並進一步應用在實際場域中。

透過將從 VirusTotal 中獲得的樣本串接到沙箱，並對過程中無法順利執行的惡意樣本進行分析，可統整出常見的原因並改善沙箱效率。而獲得大量的樣本資料之後，我們將講解如何使用這些沙箱分析惡意程式行為，並將這些分析結果進行更進一步的分析和研究，產生可應用於實際偵測的情資，包含 API、Strings、IoC 等。最後，我們也會探討產生的情資如何轉換成 Yara、Sigma 等偵測規則，實際應用並提升資安韌性。

Google 團隊於 2020 時，在 BlueZ 當中找到數個漏洞，並合併稱之為 BleedingTooth。該漏洞的攻擊較為複雜，但可透過組合使用後達成遠端執行程式碼的效果。此議程除了深入解析 Linux 藍牙架構與該漏洞以外、會介紹此等漏洞是如何在真實世界中對使用者們的安全邊界造成危害、亦會介紹如何使用 Fuzzing 來找出此等漏洞。