當資安事故發生時，多數企業往往面臨該如何在有限的時間內，精準地匡列標的主機進行調查、掌握確切受駭主機範圍以及快速的阻斷入侵擴散途徑等巨大挑戰。趨勢科技提供一個整合式平台 Vision One，搭配全方位調查工具 Forensic APP 的輔助，可以在事件發生的當下，快速且大量的蒐集主機資訊並保留跡證，搭配趨勢科技 ASRM 風險管理平台整合外部情資資訊或者 IoC，將能夠快速過濾與篩選出有問題的主機，遏止資安事故在企業內部的蔓延趨勢。

Web shells 經常在網站攻擊中使用，他們能讓攻擊者透過網站存取底層作業系統或是資料庫，進而竊取重要資料，像是使用者密碼，導致作業系統被入侵。web shells 經常隱藏惡意程式碼或是增加登入功能以避免偵測和程式碼分析，這個議程將展示 web shells 以及他們的隱藏技術。

近幾年來發生了非常多的 data breach 事件, 而被偷出去的 data , 也常常在暗網裡被販售. 暗網一直都是一個像是在 Internet 裡的迷霧區一般. 許多人不得其門而入. TOR (The Onion Router) 是目前構成暗網的主要技術. 在本次的 session 中, 我將討亂暗網的運作原理, 並且會 demo 如何在暗網中架設屬於你自己的 hidden service. 同時也會 demo 當你拿到一個 onion url , 如何分析這個 onion url , 以及介紹一些有用的工具來 monitor 你的 data 是否有出現在一些暗網中. 

台灣詐騙事件頻傳，廠商也開始使用雲端服務，發生資安事件時是否能有效面對？政府主管單位為民眾咎責時能否提供足夠資訊？應變報告要注意什麼事情又應該如何撰寫呢？本 Session 將探討資安事件處理的事前準備及事中處理策略，使與會者充分了解在雲端環境中資安事故應變的重要性與執行策略，進而提升組織在雲端環境下的安全防護能力。

當我們在 Windows進行登入時，會用到名為 WinLogon.exe 的程式。它會調用 Secure32.DLL 的 LsaLogonUser() 函式，使用 Windows系統的本機安全性授權子系統服務 (LSASS) 進行使用者身分憑證的登入驗證。

Windows系統的「安全支援提供者（SSP）」可由許多DLL進行提供，主要有NTLM、SAM、Kerberos等。

在系統啟動時，SSP 會載入到 LSASS 的執行程序之中，如此 SSP 就能存取儲存在系統中的已加密的密碼、明文密碼或雜湊。LSASS 的驗證過程，就使用這些 SSP 透過多種方式來獲取使用者身分憑證，還會將加密的密碼、Kerberos Ticket、NTLM雜湊等憑證，儲存在記憶體。

此憑證資訊成為駭客在進行端點間橫向移動前的首要攻擊目標。在 MITRE ATT&CK MATRIX 上，此攻擊技術被稱為「OS Credential Dumping: LSASS Memory, T1003.001」(憑證轉存)，知名的 Mimikatz 即是進行此攻擊的主要工具。

實務上使用 LSASS Dump 的指令相當簡易，但講者將從資安鑑識的角度，向與會的會眾分享整個 LSASS 的技術原理、LSASS Dump的程式邏輯分析、以及此攻擊過程的鑑識。