駭客成功潛入內網後，利用網路設備作為跳板進一步操控交換器，最終掌握核心網路設備，實現內網滲透與擴散。本演講將剖析這類攻擊的過程與技術細節，並探討如何防止網路設備成為攻擊者的工具。

Infostealers commit close to a perfect cybercrime tool. They sneak into the computer, grab the passwords, anything of value (like cookies that help to bypass MFA) and the victim doesn’t even know they’ve been robbed. Let’s discuss how this threat impacts any size business in any industry worldwide.

噢不…又要 Windows Update？系統更新升級一直是許多用戶頭痛的功能，打斷了工作節奏與對電腦的掌控 —— 但其實這也是各頂級資安解決方案所吶喊的痛點。

受到 Black Hat USA 一篇研究《Windows Downgrade Attacks using Windows Updates》所啟發，我們研究並調查了這類攻擊手法實務上對於資安解決方案所供的監控保護如何有效的在防護產品的架構間的註冊表、運行程序、與磁碟文件之三者對於安全性的理解不一致達成堆砌出了新的攻擊面。

此議程內容將包含 Windows 11 最新版本對於系統內置基於 Trusted Installer 升級架構進行深度拆解、防護產品與升級器間存有的定位窘境，以及基於事件記錄器作為系統與防護產品通訊架構的嫌隙問題，攻擊者最終得以偽造未受保護的註冊表與磁碟項目並成功劫持升級器身份進行“任意升級”以達成完美劫持防毒作為後門執行工具的能力；並在議程尾聲我們統整了藍隊夥伴該如何應對此類問題，並在鑑識調查與回應能有效感知野外攻擊者濫用此類技巧。

隨著時代的遞移，各種產品的漏洞層出不窮，用以攻擊的惡意程式亦是五花八門；我們蒐集針對台灣地區所產生的惡意流量並進行分析，特別掌握了幾個攻擊者經常利用的漏洞；另外也對這些惡意流量中攻擊者傳送用以控制、破壞目標環境的惡意程式做完整分析，發現了各類型的變種，同時也有發現到這些惡意程式的共通點，像是後續觸發的攻擊、或是潛伏在目標環境的方法等等。

在最近的調查結果中，Cisco Talos 發現了一個新的駭客攻擊組織，被稱為“CoralRaider”，我們相信該駭客組織來自越南，且目標是竊取金融相關的資料。 CoralRaider 自 2023 年開始行動，主要針對亞洲和東南亞國家的受害者，專注於竊取憑證、財務資料和社交媒體帳戶，包括商業和廣告資料。值得注意的是，CoralRaider 使用了dead-drop 技術，利用合法服務來託管 C2 設定檔和不常見的 living-off-the-land 程式 (LoLBins)，如 Windows Forfiles.exe 和 FoDHelper.exe。

Talos 於 2024 年 2 月發現，CoralRaider 發起了一場新的活動，傳播著名的資訊竊取惡意軟體，包括 Cryptbot、LummaC2 和 Rhadamanthys。駭客攻擊組織採用創新策略，將 PowerShell 命令列參數嵌入 LNK 檔案中，以逃避防毒偵測並方便將惡意軟體下載到受害者主機上。 Talos 有一定把握地認為 CoralRaider 是此波攻擊的幕後組織，並指出先前的 Rotbot 活動中觀察到的策略、技術和程序 (TTP) 有重疊。這些包括利用 Windows 捷徑檔案作為初始攻擊媒介、中間 PowerShell 解密器和 FoDHelper 技術來繞過受害者機器上的使用者存取控制 (UAC)。

這項研究揭示了 CoralRaider 不斷演變的策略，並強調了持續威脅情報對於有效打擊新興網路威脅的重要性。了解此類駭客攻擊組織的作案手法對於加強防禦和降低當今網路安全情勢下的風險至關重要。

在 Windows 端點偵測中 Hyper-V 等級一直被視為紅隊方難以拿下的王冠上寶石。也因此，在灰色產業鏈走得最前瞻的線上遊戲外掛與防護重度使用了 Intel VT 作為避免經典 BYOVD 核級別攻擊打穿防護的最後一道防線。然而這些現代化的反外掛引擎為達更優於微軟標配的系統威脅防護，逐步導入 Hyper-V 技術在「有效繞過微軟系統核心驅動級防護偵測」的前提下對 Windows 10+ 系統核心做出許多驅動級防護監控是否存在外掛行為 —— 但這種偵測做法是否惡意與有效？

知己知彼百戰百勝！在這場議程我們將會引領聽眾玩轉 Hypervisor 偵測防線和系統與其之間的架構設計關係，從拆解微軟基於 VT 設計的 Hyper-V 平台結構至反外掛引擎如何有效規避微軟 VBS（Virtualization-Based Security）與 Patch Guard 的眼線達成對 Windows 核心埋下產品修補程式的架構設計，並在議程尾聲提供關於端點偵測導入此類內核修補程式監控之方法與風險建議與指南。

在本次演講中，TeamT5 將分享北韓 APT 族群 Kimsuky 的最新攻擊演進與策略改變。並深入介紹 Kimsuky 的子群 CloudDragon 和 KimDragon，分析其攻擊目標的轉變與專用後門工具的技術演進。根據我們的研究，該族群攻擊目標產業從早期的政府部門、智庫、國防、金融機構，逐步擴展至重工業、科技業及加密貨幣產業等領域，並在隨著微軟預設禁用巨集功能後，逐漸在攻擊行動中採用了多種替代手段，展現了高度靈活性與適應能力。最後，我們將深入剖析該族群所使用的武器庫及其進化歷程。

我們將探討八種 C2 工具，分析其通訊方式與偵測策略。討論的工具包括 Metasploit、Mythic、Merlin、CobaltStrike、Sliver、BruteRatel、DropboxC2C 和 SaucePot C2。偵測方法側重於行為分析、網路流量分析及機器學習。此外，還將介紹實用的防禦技術，以增強網路韌性。

This presentation is about a malicious campaign operated by a Chinese-speaking threat actor, SneakyChef, targeting government agencies, likely the Ministry of External/ Foreign Affairs or Embassies of various countries since as early as 2023, using SugarGh0st RAT and SpiceRAT.  

Talos assesses with high confidence that SneakyChef operators are likely Chinese-speaking based on their language preferences, usage of the variants of Chinese’s popular malware of choice, Gh0st RAT, and the specific targets, which include the Ministry of External Affairs of various countries and other government entities with the motive of Espionage and data theft. 

Their notable TTPs include Spear-Phishing campaigns, DLL Side-Loading, custom c2 communication protocol, and abusing legitimate applications.

SneakyChef has used various techniques in this campaign with multi-staged attack chains to deliver the payload SugarGh0st and SpiceRAT. Throughout this presentation, I will discuss various attach-chains and the techniques the threat actor has employed to establish persistence, evade the detections, and implant the RATs successfully. 

Finally, I will share the indications of SneakyChef’s origin as a Chinese-speaking actor and the attribution of the SugarGh0st and SpiceRAT attacks to them. 

本研究將延續去年的「一秒癱瘓國家：從數據機弱點看潛藏的網路基礎建設安全問題］，更進一步探討各國的固網電信商與其提供的終端設備是否安全。本研究將介紹如何由各電信商的終端設備硬體開始探討其設備安全、再往上延伸到網路層應用、遠端管理協定，以及電信商本身基礎建設的安全程度。

於本研究中探討了共九個國家與十二種終端設備，並發現了許多電信商仍然正在使用超過十年前行業水準的設備、亦不一定在資訊安全上與時俱進。本研究基於這些終端設備，從硬體角度開始研究其組成，藉此手段開始仔細研究其韌軟體架構，順而往上研究其固網商之遠端管理措施之實施方式與基礎建設架構，並在這當中試著尋找任何可利用於攻陷大量設備之攻擊手段。本研究亦探討如何從電信商、OEM 廠商的角度去改善這些設備安全，並以使用者的角度，探討如何在不能更換閘道的狀況下，設計安全的網路架構。

台灣經常面臨各類資安攻擊。由於其地理位置及特殊的政治與經濟環境，台灣成為了全球駭客組織的關注目標。近來，我們觀察到針對台灣的資安攻擊，其目標產業遍及製造業、資訊業、醫療保健服務等各規模公司企業。這些事件包括特徵明顯的釣魚郵件和多種執行檔傳播。其中包含SmokeLoader 攻擊透過多模組分散惡意行為，以及AndeLoader 則利用微軟文件隱藏竊資軟體，這些攻擊一旦成功，將導致公司遭受後門感染和資料外洩的風險，這次我們將深入解析攻擊鏈的技術與流程，揭露幕後手法。

永恆之藍(EternalBlue) 相信大家都聽說過，2017年由影子掮客 (The Shadow Brokers) 取得並揭露後許多來不及或無法即時安裝更新的 Windows 系統相繼受害，其中最著名的應該就是 WannaCry 勒索軟體了，WannaCry 利用了被公開的 EternalBlue 實施漏洞攻擊在同年五月就成功癱瘓了數十萬台電腦並廣泛擴散，其中當然也包含多數國家的工廠及關鍵基礎設施。

本議程我們會從網路威脅研究人員的角度，以 EternalBlue 及應用了 EternalBlue 的惡意程式實例說明在 7 年後 EternalBlue 的攻擊並未消失，並探討如何利用現有的威脅情資制定相關的網路偵測手段進而歸類當前收到的可疑網路封包，而這個偵測手段應用到我們獵捕引擎 (hunting engine) 上時我們又蒐集到了哪些跟當年攻擊程式相關的流量，進而探究這類變形的 EternalBlue 攻擊對現今的場域可能造成的威脅。

從 2018 年 Lojax 首次利用 UEFI Bootkit 進行攻擊以來，MosaicRegressor、Trickbot、FinSpy、Especter、MoonBounce、CosmicStrand，以及 2022 年被放到暗網販賣，2023 年開源的 BlackLotus 等惡意程式接連出現，凸顯了這項技術在資安領域的潛在威脅。

本次分享將整理 Bootkit 的相關資料，從基礎的 UEFI 背景知識開始，聚焦於攻擊者如何繞過 Secure Boot，成功執行惡意 EFI 程式，達成持久化控制（Persistence）。與 BYOVD（Bring Your Own Vulnerable Driver）攻擊相比，Bootkit 從啟動階段就介入執行，影響作業系統各功能的初始化過程。另外 Bootkit 可以修改 SPI Flash，即使在作業系統重灌後仍能持續運作。

此外，議程將剖析攻擊過程中的技術細節，包括如何繞過安全機制以及在 Boot Loader 階段執行的手法，同時探討可能的偵測與防禦方式。雖然此類攻擊發生在啟動階段讓防毒軟體難以介入，但透過攻擊的準備過程與利用後的行為模式，仍能找到有效的偵測線索。希望藉由本次分享，讓更多人認識 Bootkit 的威脅。

Cisco Talos 發現了一種名為「DragonRank」的新駭客攻擊組織。這個攻擊組織主要針對亞洲國家和歐洲的少數國家，利用 PlugX 和 BadIIS 等進階惡意軟體進行搜尋引擎優化 (SEO) 排名的操縱。

DragonRank 利用 Web 應用服務中的漏洞來部署 Web Shell，然後用Web Shell於收集系統資訊並放置惡意程式。他們的惡意軟體庫包括惡名昭彰的 PlugX 惡意軟體，它採用熟悉的 DLL 側載技術並利用 Windows 結構化異常處理 (SEH) 機制來確保載入的順暢和不被防毒軟體給偵測。此外，他們還在受感染的 IIS 伺服器上部署 BadIIS 惡意軟體，和運行各種帳戶密碼與憑證的竊取軟體。

我們的研究證實，此次攻擊活動中有超過 35 台 IIS 伺服器遭到入侵，感染範圍遍佈泰國、印度、韓國、荷蘭和中國等不同地理區域。此外，Talos 還發現了 DragonRank 的商業網站、商業模式和即時通訊帳戶，因此我們有中到高的信心評估該組織是由一名講簡體中文的攻擊者運作的。

本次會議我們將深入探討 DragonRank 所採用的策略、技術和程序 (TTP)，為其營運模式和我們的見解。我們還將討論這種威脅的影響，並提供如何加強對此類複雜網路攻擊的防禦建議。

隨著針對 Windows 平台的攻擊技術不斷演進，攻擊者越來越頻繁地使用 LNK 文件作為攻擊媒介。LNK 文件是 Windows 系統中常見的捷徑方式文件格式，設計上可以指向應用程式或文件位置，提供快速方便的存取功能。然而，這種特性也成為惡意攻擊的突破口。本報告深入探討攻擊者如何利用 LNK 文件在 Windows 平台上實施感染，並針對當前普遍的攻擊手法進行剖析。

本演講聚焦於台灣十大常見網路設備品牌的高風險漏洞盤點，目的是揭示這些設備中的漏洞現況與攻擊族群的行為模式。研究基於大規模的廣域掃描，統計設備漏洞的數量與類型，並進一步探討漏洞與地區分布、協定特性之間的關聯。演講將深入解析攻擊族群如何利用這些漏洞，包括他們的利用方式及常見手法，特別關注攻擊行為的趨勢與對設備安全的影響。

今天當 APT，撿到員工帳密，但進不到公司內部的特權網路？請法師幫你用「VPN 觀落陰」，解決你的問題。「VPN 觀落陰」可以讓你在四家 SSL VPN 當中穿透防火牆和路由規則，進到你想去的網路，順便逃離網路偵測。

本演講將介紹「VPN 觀落陰」攻擊，其是源自於一針對 SSL VPN 韌體安全與網路協定的研究。由於 SSL VPN 於近年來獲得大量使用，但其並無標準公開協定的特性，使得各廠商開始自訂專用協定與自訂認證、連線流程，導致漏洞接連被研究者與各攻擊族群找出；同時，美國 CISA 美國 NSA 於 2021 年發佈的指南當中，也基於各家並無統一標準等原因，建議不要使用 SSL VPN。鑿於此，講者對了各 SSL VPN 進行韌體分析、研究其網路架構與 VPN 實作，並在四家廠商當中找到能夠以同一種攻擊手段（甚至同一種 PoC 可重複使用）穿透防火牆與路由規則的攻擊手段。

講者亦會介紹一套為了試著對 SSL VPN 進行 Fuzzing 而開發的工具，與該如何針對其韌體進行分析等。

SCCM（Configuration Manager）是微軟提供的一套解決方案，用於協助企業集中管理 Windows 電腦、伺服器及其他設備的配置與軟體部署。隨著 AD CS 安全研究的深入，微軟 AD 相關服務中的潛在安全風險成為關注重點，其中 SCCM 因其與設備高度互動的特性，被發現存在超過 20 種已知的安全隱憂。這些風險包括但不限於：低權限網域使用者可能取得 MSSQL、SMS、AD CS 等 Tier 0 資產的控制權。

本次議程將聚焦於 SCCM 的安全性議題，深入解析 SCCM 的運作原理與常見錯誤配置，這些錯誤可能成為攻擊者滲透的切入點。