過往被系統核心漏洞攻擊總被視為僅有國家級 APT 組織行動才會掏出的零時差攻擊手段；而在現代導入資安防護與異地備份解決方案之攻擊趨勢中可見野外勒索團體已轉往長期潛伏、竊取並暗網販售營業秘密牟利為新趨勢，這使得系統核心漏洞利用成為了近一年的攻擊顯學 — 在此議程中，我們將從英特爾晶片提供之功能解析 Windows 11 23H2 系統核心原生提供的五道基於 Hypervisor 所設計的防護的晶片實踐原理與其防護之極限，並以實務野外出現的系統核心漏洞軍火 PoC 作為展示；並在議程尾聲釋出開源的社群工具以掃描既有設備是否存在系統核心攻擊手法的攻擊威脅面。

Muddled Libra 在 2022 年的一系列攻擊活動震撼全球，在各方安全團隊的合作分析和共同防禦之下，該組織不得不轉換攻擊的手法和工具突破資安防禦。這次會議我們會深度分析這個團隊兩年來的轉變，從我們的第一手經驗討論安全團隊在其中扮演的角色，以及基於資安情資提升防禦系統的重要性。

在白熱化的勒索攻擊與網軍行動下，資安專家經常呼籲企業應「安裝」防毒軟體在組織電腦中以偵測並即時阻擋新型態威脅... 嘿！不過你知道防毒作為「軟體安裝」於系統的後果是，可能過於容易被反安裝嗎？; ) 這場議程中我們將從 Windows 系統觀點作為立基探討現代資安解決方案作為系統「第三方植入的防護層」所產生的問題：當 Windows Update 升級更新時，你的資安產品是否該被關閉以便系統升級呢？我們將從 2021 年野外熱議的新攻擊面說起，駭客如何在遵守 Windows 權限控管模型的前提遊走在特權令牌之間、騙取與偽造自身為系統升級器、並得以在 Windows 11 (23H2) 的版本上將一線中國品牌的防毒之令牌關進沙鄉中運行：使其與網管雲控端斷連、無法偵測與掃描惡意程式、與主動防禦失效——而這類型問題也同樣影響了諸多類似設計的台廠端點防護。

近年來，針對關鍵基礎設施的網路攻擊增加，對受影響國家的穩定和安全構成重大威脅。在本次演講中， TeamT5 將介紹中國駭客組織 TeleBoyi，該組織主要針對關鍵基礎設施進行攻擊，特別是電信產業。他們的目標遍及全球許多國家，包括亞太地區、美洲和歐洲。我們的演講將涵蓋 TeleBoyi 的戰術、技術和程序 ( TTP )，包括他們的武器庫。此外，我們將討論 TeleBoyi 與其他駭客組織重疊的 TTP，我們的研究顯示中國 APT 近年傾向使用共用的武器。最後，我們相信本次演講中介紹的技術和策略可以幫助藍隊更有效地預防、偵測和回應 Teleboyi 的攻擊。

是否看到購買滑鼠時寫著「資安加密全面防護」，卻不知道是什麼意思？本議題將延續 CYBERSEC 2023 時介紹過 Linux 作業系統核心層的藍牙協定漏洞，介紹另一種安全風險：「無線輸入裝置 (HID) 安全性」。

從 2016 年發現的 MouseJack，使不少自行設計無線協定的無線滑鼠鍵盤，陷入可能被進行注入滑鼠、鍵盤操作的風險，其作者又於 2023 年中發現藍牙協定之上的跨平台鍵盤注入漏洞。無線滑鼠、鍵盤，接連出現漏洞，是否代表所有無線滑鼠、鍵盤皆不安全？本議程將深入探討並介紹兩種攻擊模式背後的背景知識，包括後者是如何透過藍牙協定當中的合理行為進行實務上會造成安全風險的攻擊行為、甚至透過展示「有線滑鼠鍵盤亦不安全」的情境，來突顯縱深防禦的重要。本議程亦會分別從組織架構、個人的角度來探討該如何防止或減少此類攻擊帶來的問題。

多數企業大量依賴網域服務 Active Directory (AD) 作為使用者與資產管理、派送軟體更新及相關統一控管機制的骨幹，在 AD 提供了豐富與多樣功能的同時，也衍生了管理者因為方便等因素設定了不當的組態設定，因而直接或間接的產生資安風險，更甚至大型的企業內網架構相對複雜，在偵測機制不齊全的狀況之下，往往很難即時察覺攻擊正在發生。本講題將以藍隊思維出發，分享維繫網域服務核心的認證機制 - Kerberos 協定是如何運作， 與 Kerberos 協定息息相關的攻擊手法，及該如何進行相關攻擊的偵測，以即時有效的防止 攻擊者接管企業網域服務。

從 2022 年初開始，我們一直在追蹤一個針對全球多個政府單位進行攻擊的駭客行動，其主要針對的地區為東南亞，但也包括歐洲、拉丁美洲和非洲。儘管一開始看起來獨特，最終我們的研究發現這個行動與中國駭客集團 Earth Lusca 有多重關聯，並發現額外的關聯至另外一個中國駭客集團 LuoYu。我們在駭客的伺服器上找到多個檔案，包括樣本、從受害者竊取的數據和配置檔案。這些數據和我們的遙測資料幫助我們清楚地了解到攻擊者感興趣的目標與受害者群體，以及他們經常使用的攻擊手法、後門軟體和後期利用的駭客工具，我們將在這次議程中披露這些最新的資訊。

在 2023年，我們識別出一個名為 Earth Estries 的新型網路間諜活動，顯示自至少 2020年以來一直存在。值得注意的是，Earth Estries 的戰術與先進持久性威脅（APT）組織 FamousSparrow 之間出現了相似之處。使用的工具和技術表明涉及高度熟練的威脅行為者，他們運用先進的資源，大量使用後門和駭客工具，有力地針對位於菲律賓、台灣、馬來西亞、南非、德國和美國的政府和科技行業的組織。在這個主題中，我們將討論我們的詳細發現和技術分析，包括有關 Earth Estries 及其動機、攻擊方法和工具、C＆C 基礎設施、受害者範圍和歸因的一些背景資料。

本篇議程會揭露中國 APT 利用邊緣裝置 0-day 野外利用，如散播假訊息來影響 2024 台灣總統大選，及其它邊緣裝置遭中國 APT 野外利用案例分享。除此之外，本議程也會揭露針對邊緣裝置的新惡意程式族群及手法，例如∶port-knocing 後門及 LoLbin 攻擊。最後，本篇議程也會分享針對邊緣裝置安全如何進行弱點管理 ( vulnerability management ) ，緩解 ( mitigation ) 及回應 ( response ) 。

Generative AI is the rage these days, with ChatGPT being a worldwide phenomenon. Did you know that threat actors are leveraging similar tools in the course of their attacks to everyday organizations? This session discusses how advanced nation state and eCrime adversaries are investing time and resources into developing tooling, and tradecraft leveraging ChatGPT and analogous AI engines.

The session deep dives into the myriad attacks where generative AI plays a key role in bartering sophisticated attacks, and the various methods adversaries employ generative AI to their advantage.Understand attacks where AI plays a pivotal role, and how AI tooling is rapidly evolving.

Finally, the use of generative AI is not just for adversaries! Cyber warriors can leverage this technology to make their jobs easier, faster, and more efficient. Generative AI is not just an adversary tool, but one the “good guys” can use as well

隨著資安威脅的演進，APT 攻擊顯示出更複雜的規避偵測手法。本演講深入探討一起針對高科技產業的 APT 攻擊案例，其中攻擊者針對 EDR 系統進行干擾與破壞。此外，攻擊者採用了一系列巧妙的 Evasion 手法，使得偵測防禦變得更加困難。本演講旨在深入了解這些手法及當前資安趨勢，協助專家更有效預防與回應這類威脅。

本議程將探討如何像遊戲「看門狗」一樣——實現駭客的夢想：指哪打哪、走在路上，遇到綠燈就把它變紅燈！此議程將分享一個針對關鍵基礎設施之一「通訊傳播」的研究：其在真實戰爭中被攻擊的各種情境，以及：一週內挖掘針對某一國家的通訊設施的六個弱點，並能夠掌控該國所有終端通訊設備。

此議程將分為兩個部份：首先，「資訊戰」、「戰爭」與「入侵」三者與「政治戰」的關係。本議程將會解釋包含通訊在內的關鍵基礎設施，是如何和一國的國家安全緊密相依、以及近年數個針對此類設施的攻擊事件與其衝擊；再者，講者將會介紹「終端通訊設備」的故事，從如何「研究電路板」(硬體逆向工程)、韌體分析、研究電信公司的網路架構、到如何埋下永久性後門以及進行流量監聽來攔截密碼等資訊。

最後，本議程亦會介紹目前各國 CERT 的不足點，以及網通廠商與電信商該如何邁出更安全的下一步。

針對 MacOS 上惡意程式防禦，蘋果官方在 2012 年提出了 Gatekeeper/Xprotect，一種即時攔截使用者點開已知惡意程式、未簽章和未公證的機制。然而有了它的防禦真的就讓其百毒不侵了嗎？ 實際上，近年針對蘋果企業用戶為目標的攻擊不斷出現，例如， 3CX 供應鏈攻擊、TriangleDB，以及首度被接露的 macOS lockbit 等，足以證明攻擊者對於繞過蘋果系統安全機制早已得心應手。本議程將透過逆向分析深入了解此機制的設計架構，我們將介紹近幾年觀察到的漏洞利用手法和非漏洞的繞過方法並歸納其攻擊面，透過實際攻擊案例來探討最新的攻擊趨勢，帶領聽眾了解蘋果系統安全問題。

C2 通訊在網路攻擊中扮演著不可或缺的關鍵角色。因應不斷變化的網路環境，C2 技術已經多次進化和演變，攻擊者持續尋找新方式規避防禦機制。根據 MITRE ATT & CK T1102 的記錄，攻擊者利用辦公雲端服務逃避可疑連線偵測，增加利用網路流量進行防護的困難。然而，我們該如何有效利用網路流量辨識 Google Calendar 的惡意連線呢？

Qt Framework 是世界上最受歡迎的 C++ 開發框架之一，深入了解 Qt Framework 的複雜性，可以使開發者能夠以更安全的方式進行應用程式開發。因此深入探討 Qt Framework 的架構，可以幫助開發人員全面了解其優缺點和資安風險。 此外，透過不同的資安測試進行主動防禦，可以進一步識別 Qt Framework 內潛藏的危機。 

本場議程將帶給聽眾實用的方法進行系統化地測試和強化其應用程式以抵禦潛在威脅，從而形成積極主動的資安措施。除此之外，本場議程也將透過探討 Qt Framework 的漏洞，透過具體的範例展示其資安威脅。 聽眾將會學習到如何正確地開發 Qt Framework 應用程式，保護其應用程式免於潛在的資安風險，帶給開發人員和資安從業人員寶貴的收穫。

本議程的目的主要是讓議程觀眾了解攻擊者並不會只有第一階段的網路攻擊，有時候第一階段只是讓攻擊者能夠通過受害者設備的大門，當攻擊者通過第一階段的大門後，有些攻擊會嘗試做更多的後續破壞。例如從外部的 C&C 下載惡意程式做更進一步的破壞行為。所以在本議程我們會分享不只是如何觀測到這一類型的攻擊行為，還會再分享當我們觀測到這一類的攻擊行為後，我們如何蒐集並分析這些腳本內試圖下載的惡意程式，以及如何針對這一類的攻擊行為保護設備。

除了被廣泛利用的 HTTP 之外，DNS 協議在網路通訊中也扮演著至關重要的角色，它能夠繞過企業常使用的 L4 防火牆限制。本次簡報將探討 DNS 被濫用以建立隱蔽隧道、繞過第四層防火牆的情境。我們將探索幾種隧道工具和命令與控制 (C2) 框架，以及說明攻擊者如何利用 DNS 進行未經授權的網路存取。我們的分析顯示，持續的濫用 DNS 是惡意組織長期採用的有效攻擊媒介。本議程將歸納出加強 DNS 安全的實用策略，以提供具體步驟來減輕潛在的威脅。