過往被系統核心漏洞攻擊總被視為僅有國家級 APT 組織行動才會掏出的零時差攻擊手段；而在現代導入資安防護與異地備份解決方案之攻擊趨勢中可見野外勒索團體已轉往長期潛伏、竊取並暗網販售營業秘密牟利為新趨勢，這使得系統核心漏洞利用成為了近一年的攻擊顯學 — 在此議程中，我們將從英特爾晶片提供之功能解析 Windows 11 23H2 系統核心原生提供的五道基於 Hypervisor 所設計的防護的晶片實踐原理與其防護之極限，並以實務野外出現的系統核心漏洞軍火 PoC 作為展示；並在議程尾聲釋出開源的社群工具以掃描既有設備是否存在系統核心攻擊手法的攻擊威脅面。

在白熱化的勒索攻擊與網軍行動下，資安專家經常呼籲企業應「安裝」防毒軟體在組織電腦中以偵測並即時阻擋新型態威脅... 嘿！不過你知道防毒作為「軟體安裝」於系統的後果是，可能過於容易被反安裝嗎？; ) 這場議程中我們將從 Windows 系統觀點作為立基探討現代資安解決方案作為系統「第三方植入的防護層」所產生的問題：當 Windows Update 升級更新時，你的資安產品是否該被關閉以便系統升級呢？我們將從 2021 年野外熱議的新攻擊面說起，駭客如何在遵守 Windows 權限控管模型的前提遊走在特權令牌之間、騙取與偽造自身為系統升級器、並得以在 Windows 11 (23H2) 的版本上將一線中國品牌的防毒之令牌關進沙鄉中運行：使其與網管雲控端斷連、無法偵測與掃描惡意程式、與主動防禦失效——而這類型問題也同樣影響了諸多類似設計的台廠端點防護。

全球頂級的各家防護廠商皆以搭載極高偵測率之 AI 歸因分析引擎的羽量級端點作為解決複雜真實攻擊的根基並以低誤判率而為人所樂道；然而有其不可避免的極限：如何具有可解釋性且低誤判「合理的」惡意行為歸因技術、從明確的惡意系統 API 呼叫順序所生的前後文語義作為自動化偵測依據 ——而如此興盛的 AV/EDR 引擎的歸因技術裡引起了攻擊研究者的好奇，倘若能在羽量級端點之遙測資料早期便有效的混淆系統 API 呼叫的順序或者發起者，是否便能將該攻擊行動被分析引擎錯誤性歸類為誤報 ( False Alert ) 甚至是良性的系統原生正常行為呢 ？我們將從 Defender 2020 年引擎升級後的行為分析技術出發並展示頂級商業滲透工具 Cobalt Strike 針對三種新型態針對掃毒引擎之歸因技術逃逸的手段 —— 如攻擊者能反過來濫用 Windows 10+ 推出的 CFG 防護成為端點防護產品 AI 偵測的盲區，使攻擊行為誤判成為良性系統行為。

在當代諸多工控與關鍵基礎設施起因於諸多實戰問題難以使用實體網路使其轉向使用看似完美解答的低軌衛星網路方案：網路成本便宜、看似安全衛星網路、戰時脆弱關鍵設施之通訊等諸多益處而使其成為最佳解答。這場議程中，我們盤點了陸、海、空、軍用之衛星裝備與十種不同通訊協議，並將這些設備之野外攻擊分類整理出了低軌衛星威脅模型以打破既往工控所信賴的網路獨立概念—攻擊者能使用極為低廉的設備竊聽與劫持連線、甚至蓋臺癱瘓全廠房甚至奪得 RCE；為了回應與防護上述因脆弱規格而有的攻擊機會，我們提供了一個有別網路獨立之有效的工控與關鍵基礎設施之防禦策略，能幫助藍隊借鏡並及早感知、並防範這類新型態的衛星攻擊行動。