在一個威脅不停演進和更新的世界裡，網路駭客會就是一直重複著同樣的事。一個精密、高效率的服務產業正在網路犯罪圈裡誕生。過去一年，這個生態系甚至又再次進化，新的犯罪商業模式不斷突破和建立，尤其駭客正逐步增加 AI 的使用情況，將繼續考驗著我們的防禦，迫使我們必須跟著進化。

AI技術真是把雙面刃， 儘管對產業是個革命性的突破，但是同時包括犯罪產業也同步使用這樣的技術，讓威脅無法捉模。而網路資安產業， (以及專注在這方面的執法機關) 更是這樣景況的最佳演繹。

在這場演講中，我們從兩個面向揭露，網路犯罪的最新演進，也探究企業如何也採用這樣的技術優勢對抗威脅。 

LLM 是自電腦誕生以來最強勁的發明之一，它不僅是資訊轉化為知識的關鍵拼圖，更是構築 AI 世界的基石。短短三、四年內，LLM 席捲全球，帶來了一場場瘋狂的 AI 派對，讓資訊技術的發展速度突破極限。但每一次技術的飛躍，必然伴隨新的挑戰。LLM 並非只是另一種軟體，而是一個充滿隨機性、難以預測的「奇異元件」，與我們熟悉的資訊系統格格不入。傳統的軟體品質控制、測試工具在這個領域幾乎無計可施，舊有的資安思維也難以適用，我們不能只把 LLM 當作一個軟體來討論安全議題。在這場演講中，將以資安人的角度，帶大家深入剖析 AI 應用帶來的全新資安挑戰，並思考如何在這場資訊產業的革命浪潮中做好準備！

We conducted a research project on communications resilience for Taiwan. We asked a simple question: If in conflict, can Taiwan's people, private sector, and government demonstrate the same kinds of resilience we saw conducted by Zelensky in Ukraine? This proposal will tell the story of our research process, our findings, and how we created a war game / table top exercise to conduct at DefCon and Blackhat Las Vegas in 2024 to try to answer our simple question.

駭客成功潛入內網後，利用網路設備作為跳板進一步操控交換器，最終掌握核心網路設備，實現內網滲透與擴散。本演講將剖析這類攻擊的過程與技術細節，並探討如何防止網路設備成為攻擊者的工具。

Infostealers commit close to a perfect cybercrime tool. They sneak into the computer, grab the passwords, anything of value (like cookies that help to bypass MFA) and the victim doesn’t even know they’ve been robbed. Let’s discuss how this threat impacts any size business in any industry worldwide.

噢不…又要 Windows Update？系統更新升級一直是許多用戶頭痛的功能，打斷了工作節奏與對電腦的掌控 —— 但其實這也是各頂級資安解決方案所吶喊的痛點。

受到 Black Hat USA 一篇研究《Windows Downgrade Attacks using Windows Updates》所啟發，我們研究並調查了這類攻擊手法實務上對於資安解決方案所供的監控保護如何有效的在防護產品的架構間的註冊表、運行程序、與磁碟文件之三者對於安全性的理解不一致達成堆砌出了新的攻擊面。

此議程內容將包含 Windows 11 最新版本對於系統內置基於 Trusted Installer 升級架構進行深度拆解、防護產品與升級器間存有的定位窘境，以及基於事件記錄器作為系統與防護產品通訊架構的嫌隙問題，攻擊者最終得以偽造未受保護的註冊表與磁碟項目並成功劫持升級器身份進行“任意升級”以達成完美劫持防毒作為後門執行工具的能力；並在議程尾聲我們統整了藍隊夥伴該如何應對此類問題，並在鑑識調查與回應能有效感知野外攻擊者濫用此類技巧。

隨著時代的遞移，各種產品的漏洞層出不窮，用以攻擊的惡意程式亦是五花八門；我們蒐集針對台灣地區所產生的惡意流量並進行分析，特別掌握了幾個攻擊者經常利用的漏洞；另外也對這些惡意流量中攻擊者傳送用以控制、破壞目標環境的惡意程式做完整分析，發現了各類型的變種，同時也有發現到這些惡意程式的共通點，像是後續觸發的攻擊、或是潛伏在目標環境的方法等等。

在最近的調查結果中，Cisco Talos 發現了一個新的駭客攻擊組織，被稱為“CoralRaider”，我們相信該駭客組織來自越南，且目標是竊取金融相關的資料。 CoralRaider 自 2023 年開始行動，主要針對亞洲和東南亞國家的受害者，專注於竊取憑證、財務資料和社交媒體帳戶，包括商業和廣告資料。值得注意的是，CoralRaider 使用了dead-drop 技術，利用合法服務來託管 C2 設定檔和不常見的 living-off-the-land 程式 (LoLBins)，如 Windows Forfiles.exe 和 FoDHelper.exe。

Talos 於 2024 年 2 月發現，CoralRaider 發起了一場新的活動，傳播著名的資訊竊取惡意軟體，包括 Cryptbot、LummaC2 和 Rhadamanthys。駭客攻擊組織採用創新策略，將 PowerShell 命令列參數嵌入 LNK 檔案中，以逃避防毒偵測並方便將惡意軟體下載到受害者主機上。 Talos 有一定把握地認為 CoralRaider 是此波攻擊的幕後組織，並指出先前的 Rotbot 活動中觀察到的策略、技術和程序 (TTP) 有重疊。這些包括利用 Windows 捷徑檔案作為初始攻擊媒介、中間 PowerShell 解密器和 FoDHelper 技術來繞過受害者機器上的使用者存取控制 (UAC)。

這項研究揭示了 CoralRaider 不斷演變的策略，並強調了持續威脅情報對於有效打擊新興網路威脅的重要性。了解此類駭客攻擊組織的作案手法對於加強防禦和降低當今網路安全情勢下的風險至關重要。

Digital sovereignty is a crucial aspect of modern democracy, determining a state's ability to control its digital infrastructure, regulate technology, and protect citizen data. In today’s world, data has become the most valuable resource, surpassing even oil and gold, as it enables those who control it to influence public perception and decision-making. Democratic states prioritize transparency, freedom of speech, and data protection, while autocratic regimes use digital tools for censorship, surveillance, and propaganda. The European Union (EU) and other democratic nations implement regulations such as GDPR, DSA, and DMA to ensure fair competition, secure personal data, and counter disinformation. However, the challenge remains: balancing security with fundamental freedoms. The global contest over digital sovereignty reflects the broader geopolitical struggle between democratic and authoritarian models. While democracies regulate digital platforms to protect citizens, autocratic states monopolize online spaces to control narratives. International collaboration, such as between the EU and Taiwan, is vital for strengthening cybersecurity, countering digital propaganda, and fostering technological independence. Ultimately, digital sovereignty must not lead to isolation but serve as a tool for democratic resilience. The future lies in cooperation, transparency, and the protection of fundamental rights in the digital realm.

An overview of cyber threat intelligence on current and near-term adversary use of artificial intelligence to generate cyber threats. Google Mandiant insights on ways to defend cloud infrastructure on which AI rests, and how generative AI can be used to enhance the capabilities of defensive cyber threat intelligence teams and network defenders.

Step into the eerie echoes of Charles Dickens' *The Signal-Man* to uncover a chillingly relevant parable for our age of AI and cybersecurity. In a world where AI systems power decisions at unprecedented speeds, are we, like the lonely signalman, misinterpreting critical warnings while hurtling toward disaster? Join Dimitri van Zantvliet, the Cybersecurity Director of Dutch Railways, for a keynote that fuses storytelling with cutting-edge insights into the rail sector’s digital transformation and cybersecurity strategies.

This session will unravel the lessons of Dickens' tragic tale, exploring the parallels between Victorian railways and today’s AI-driven systems. From opaque "black box" algorithms to over-reliance on automated defenses, we face a critical crossroads: embrace AI with responsibility or risk repeating the signalman’s fate.

Discover how the rail industry navigates waves of digitization, compliance tsunamis, and escalating threats while building ethical, transparent, and sustainable AI frameworks. You’ll learn practical strategies to balance human oversight with AI’s vast potential, ensuring trust, security, and resilience in an era where the stakes have never been higher.

Don’t miss this captivating blend of history, innovation, and foresight—a call to action for leaders who refuse to be overwhelmed by the warnings they cannot understand. Together, let’s rewrite the future and ensure the signals of tomorrow guide us to safety, not tragedy.

Active Directory 的安全問題已經討論多年，自從「Pass The Hash」攻擊技術出現至今也已經 18 年，我們真的完全擺脫這些安全問題了嗎？像是 Windows 11 24H2 開始拋棄 NTLM 驗證，但是 Kerberos 就不能被攻擊嗎？而隨著企業架構逐漸轉向混合身份驗證（像是 Entra ID、SAML），這些缺陷問題似乎也逐漸結合在一起變成更大的攻擊範圍。

在這次議程中，我們將會用時間軸回顧過去的 Active Directory 攻擊歷史，及介紹相關技術，並且探討 AD 與雲端 Azure & Entra ID 混合身份驗證中，時代交會時所產生的各式攻擊手法，用較輕鬆與簡單的概念去幫助大家快速了解這些潛在弱點/攻擊面，希望能讓大家更全面的認識這些弱點，進而管理企業中的相關風險。

近年來，大規模語言模型(LLM)技術快速發展，為企業帶來從客戶服務到決策支援等多元創新機會。然而，若缺乏完善的安全策略，可能導致資料外洩、模型被篡改等風險，甚至面臨合規問題與商譽損失。因此，需要建立系統化的防禦機制。

「LEARN」框架提供了全方位的安全管理方法：

Layer(分層)階段著重於明確劃分系統邊界，讓團隊能有效掌握各個環節的風險，並配置相應的控管措施。

Evaluate(評估)階段則根據現有流程與資料敏感度，評估可能的營運衝擊，同時考量法規要求，找出需優先強化的區域。及早建立跨部門溝通機制，可在問題擴大前及時處理。

Act(行動)階段將規劃轉化為具體措施，包括更新安全配置、優化工作流程等。由於LLM應用常涉及外部使用者與第三方整合，需確保防護措施能自動化運行，並具備異常警示功能。

Reinforce(強化)階段透過持續性監控與定期測試，驗證安全機制的有效性。這包括收集系統使用記錄，進行模擬攻擊等，確保防禦功能正常運作。

Nurture(培養)階段則著重於安全文化的建立，確保從基層到決策層都具備風險意識。當外部環境變化時，組織能迅速調整內部規範，並將新標準落實到日常操作中。

透過「LEARN」，組織能在追求 LLM 創新的同時做好風險管理，在競爭市場中既能把握機會，又能確保營運穩定。隨著技術持續演進，這個框架也提供了靈活調整的空間，幫助企業在變革中不斷提升防禦能力。

面對日益複雜且多變的網路威脅，企業組織的內部網路環境往往具有高度的異質性。不同的架構、操作系統、應用程式以及使用模式，讓單一的偵測邏輯難以通用於所有環境。同時，隨著攻擊者持續演進其技術與策略。為此，偵測工程（Detection Engineering） 應運而生，成為近年來藍隊廣泛討論的重要主題。偵測工程的核心目標 是透過系統化的流程與方法論，有效率地設計和實現適用於自身環境的偵測規則。它將攻擊行為抽象化為特徵模式，專注於行為而非工具，使得偵測邏輯不僅具備更高的靈活性，還能適應快速變化的攻擊場景。在本次演講中，我們將深入探討偵測工程的核心概念與實踐流程，並結合實際案例進行演示，說明如何透過系統化的流程設計出能有效辨識這類行為的偵測規則。此外，我們將介紹如何利用像 MITRE ATT&CK 等標準化框架，搭配 Abstraction Map ，將攻擊行為分層解構，精確定位潛在的偵測點。

在本次演講中，TeamT5 將分享北韓 APT 族群 Kimsuky 的最新攻擊演進與策略改變。並深入介紹 Kimsuky 的子群 CloudDragon 和 KimDragon，分析其攻擊目標的轉變與專用後門工具的技術演進。根據我們的研究，該族群攻擊目標產業從早期的政府部門、智庫、國防、金融機構，逐步擴展至重工業、科技業及加密貨幣產業等領域，並在隨著微軟預設禁用巨集功能後，逐漸在攻擊行動中採用了多種替代手段，展現了高度靈活性與適應能力。最後，我們將深入剖析該族群所使用的武器庫及其進化歷程。

我們將探討八種 C2 工具，分析其通訊方式與偵測策略。討論的工具包括 Metasploit、Mythic、Merlin、CobaltStrike、Sliver、BruteRatel、DropboxC2C 和 SaucePot C2。偵測方法側重於行為分析、網路流量分析及機器學習。此外，還將介紹實用的防禦技術，以增強網路韌性。

這場議程將基於 TeamT5 多年提供 MDR (Managed Detection and Response) 代管服務經驗，一同探討威脅狩獵過程中的挑戰與痛點，透過案例分享在真實場域中所遇到的挑戰，以及近期在面對 APT (Advanced Persistent Threat) 攻擊族群的新興手法時，如何利用威脅狩獵來查找到他們的蹤跡。

藉由實際案例，以藍隊的角度為出發點分析企業在同時管理雲地環境容易出現的資安風險，並透過可參考的規範來思考可能的改善方向，並透過 Cyber Defense Matrix 框架來分析在每個環節可採取的措施，並透過實際發生的案例分析對齊前述 CDM 框架提及的措施，藉以協助企業資安管理者以不同面向思考雲地資安治理可發展的面向。

This presentation is about a malicious campaign operated by a Chinese-speaking threat actor, SneakyChef, targeting government agencies, likely the Ministry of External/ Foreign Affairs or Embassies of various countries since as early as 2023, using SugarGh0st RAT and SpiceRAT.  

Talos assesses with high confidence that SneakyChef operators are likely Chinese-speaking based on their language preferences, usage of the variants of Chinese’s popular malware of choice, Gh0st RAT, and the specific targets, which include the Ministry of External Affairs of various countries and other government entities with the motive of Espionage and data theft. 

Their notable TTPs include Spear-Phishing campaigns, DLL Side-Loading, custom c2 communication protocol, and abusing legitimate applications.

SneakyChef has used various techniques in this campaign with multi-staged attack chains to deliver the payload SugarGh0st and SpiceRAT. Throughout this presentation, I will discuss various attach-chains and the techniques the threat actor has employed to establish persistence, evade the detections, and implant the RATs successfully. 

Finally, I will share the indications of SneakyChef’s origin as a Chinese-speaking actor and the attribution of the SugarGh0st and SpiceRAT attacks to them. 

我將和會眾分享申請加入FIRST（Forum of Incident Response and Security Teams）的過程和意義。隨著全球資訊安全威脅的日益嚴峻，華碩致力於為全球用戶與合作夥伴提供安全可靠的產品與服務，進一步強化資安韌性，並推動ESG永續發展。

在這個過程中，我將解析如何利用SIM3 v2 interim Self Assessment Tool進行自我評估，全面了解CSIRT/PSIRT的成熟度，並制定改進計劃。也分享我們如何尋找合適的Sponsor進行推薦和實地訪查，確保申請會員資料的完整性。併完整講述如何填寫FIRST Membership Interest Form及New Full Member Team Application，從意願申請到正式提交資料，確保每一個步驟的順利進行。

最後將探討加入FIRST後的世界，包括利用FIRST MISP威脅情資平台、參與Special Interest Groups（SIGs）和FIRST的各種活動，這些資源和機會將極大地提升我們的應對能力和專業成長。希望通過這次分享，能夠幫助大家更好地理解加入FIRST的意義和流程。

本研究將延續去年的「一秒癱瘓國家：從數據機弱點看潛藏的網路基礎建設安全問題］，更進一步探討各國的固網電信商與其提供的終端設備是否安全。本研究將介紹如何由各電信商的終端設備硬體開始探討其設備安全、再往上延伸到網路層應用、遠端管理協定，以及電信商本身基礎建設的安全程度。

於本研究中探討了共九個國家與十二種終端設備，並發現了許多電信商仍然正在使用超過十年前行業水準的設備、亦不一定在資訊安全上與時俱進。本研究基於這些終端設備，從硬體角度開始研究其組成，藉此手段開始仔細研究其韌軟體架構，順而往上研究其固網商之遠端管理措施之實施方式與基礎建設架構，並在這當中試著尋找任何可利用於攻陷大量設備之攻擊手段。本研究亦探討如何從電信商、OEM 廠商的角度去改善這些設備安全，並以使用者的角度，探討如何在不能更換閘道的狀況下，設計安全的網路架構。

隨著生成式 AI 越來越熱門，各式應用也如雨後春筍般湧現，但如果這些 AI 應用程式不聽使用者的話，卻被駭客操控，會帶來多麼嚴重的後果呢？相對應的攻擊技術 Prompt Injection，在 OWASP 的 AI 安全問題排名中已連續兩年名列第一。

本演講將深入探討 Prompt Injection 的攻擊方式，從生成式 AI 的使用者到系統內部，分析在哪些環節可能會遭受攻擊，以及如何才能安全地使用生成式 AI。

台灣經常面臨各類資安攻擊。由於其地理位置及特殊的政治與經濟環境，台灣成為了全球駭客組織的關注目標。近來，我們觀察到針對台灣的資安攻擊，其目標產業遍及製造業、資訊業、醫療保健服務等各規模公司企業。這些事件包括特徵明顯的釣魚郵件和多種執行檔傳播。其中包含SmokeLoader 攻擊透過多模組分散惡意行為，以及AndeLoader 則利用微軟文件隱藏竊資軟體，這些攻擊一旦成功，將導致公司遭受後門感染和資料外洩的風險，這次我們將深入解析攻擊鏈的技術與流程，揭露幕後手法。

如同低軌衛星在企業、民用與關鍵基礎設施的火紅普及，使得衛星通訊的安全性成為全球日益關注的問題。這也促使諸多衛星解決方案的廠商正視並努力解決、逐步導入流量加密，使其用戶地端與高空衛星間的流量受到加密以避免可能來自地端的 Space Jamming 阻斷攻擊甚至中間人劫持連線以篡改通訊內容，然而加了密就確實等於安全嗎？

這場議程我們將陪伴聽眾進入探討地面廣播攻擊的旅程，從兩篇學術研究探討起實務逆向拆解衛星通訊設備後，駭客們如何從衛星數據機產品的軟硬體設計架構中找到加密設計的瑕疵、透過中間人劫持注入惡意韌體升級並再次拿下遠端執行權限。議程將會探討當前衛星設備調變與解調過程其高韌性的資料傳輸能力所帶來的安全代價、實務數據機與衛星溝通的困難中間人辨識問題，到攻擊者如何花式濫用組合這些技巧與可能達到的威脅，並於議程尾聲總結建議的回應或解決方案。

隨著醫療資訊數位化的快速發展，大型醫院正面臨前所未有的網路安全威脅與複雜的資料管理挑戰。本場次將深入探討大型醫院如何善用雲端技術，打造更靈活、高效且全方位安全的防護架構，確保病患隱私、系統穩定性及法規合規性，並透過實際案例分享最佳實踐策略。

目前常見企業安全防護或是組織分工常以產品、資安治理標準框架的角度規劃，或以安全政策、資安認證、安全監控或是威脅情資為主，容易見樹不見林或是見林不見樹。卻忽略資訊系統或是網路設計的安全規劃才是強化體質正本清源的做法，本講題將以在趨勢科技與華碩電腦資安部門專職 18 年 Security Architect 的經驗出發，設計出一個Secure by Design 與 Security by Default 雲端安全管理架構。

本演講將引領觀眾深入了解衛星網路與太空資安的現狀與未來趨勢，重點在於透過 CTF（Capture The Flag）挑戰賽設計的攻防場景，揭示現代衛星通訊和控制系統面臨的安全威脅。我們將透過題目案例、技術分析和示範，展示衛星資安的基礎知識、常見的攻防技術。

透過此次演講，觀眾將能了解衛星資安的重要性，學習實際的攻防知識和技術，並激發更多對於未來衛星安全研究的興趣與思考。

永恆之藍(EternalBlue) 相信大家都聽說過，2017年由影子掮客 (The Shadow Brokers) 取得並揭露後許多來不及或無法即時安裝更新的 Windows 系統相繼受害，其中最著名的應該就是 WannaCry 勒索軟體了，WannaCry 利用了被公開的 EternalBlue 實施漏洞攻擊在同年五月就成功癱瘓了數十萬台電腦並廣泛擴散，其中當然也包含多數國家的工廠及關鍵基礎設施。

本議程我們會從網路威脅研究人員的角度，以 EternalBlue 及應用了 EternalBlue 的惡意程式實例說明在 7 年後 EternalBlue 的攻擊並未消失，並探討如何利用現有的威脅情資制定相關的網路偵測手段進而歸類當前收到的可疑網路封包，而這個偵測手段應用到我們獵捕引擎 (hunting engine) 上時我們又蒐集到了哪些跟當年攻擊程式相關的流量，進而探究這類變形的 EternalBlue 攻擊對現今的場域可能造成的威脅。

漏洞評估已成為網路安全的重要組成部分，幫助企業識別、量化和優先處理系統中的弱點，防範潛在威脅。透過定期評估，企業可在駭客利用前發現漏洞，避免昂貴的資料外洩與系統停機損失。傳統漏洞掃描工具雖能分析系統並生成報告，但需要使用者解讀結果、提供資產信息並應用修補建議，過程耗時且容易出錯。特別是在大型環境中，應用程式多且修補計劃各異，增加了管理以及修復的複雜度。

為簡化並加強漏洞偵測，我們透過導入 AI 以減少對手動標記的流程。AI 能自動標記透過漏洞執行攻擊的被攻擊的資訊，準確識別風險，並在資產遭受攻擊前及先針對攻擊會使用到的資訊進行監控達到漏洞預防的效果。透過 AI 除了能夠讓企業達到漏洞預防的目的，同時也能夠透過參考 AI 以及 CVSS 幫我們標記的被攻擊協定判定漏洞的處理順序，優先處理以及預防真正對企業能夠達到影響的漏洞。

隨著混合雲環境的普及，如何有效管理與保護這些多樣化平台成為一大挑戰。本次分享將聚焦於如何利用雲端治理管理來加強混合雲安全，幫助參與者應對當前的風險。參與者將學習如何在混合雲環境中設計與實施強有力的安全政策與控制，並探索如何實踐中有效整合雲端安全管理解決方案，提升安全性與可見性。

目前國內對於人工智慧 (AI) 在安全防護上的應用已有廣泛討論，但對於 AI 模型面臨的安全挑戰卻相對較少。本次演講將以 OWASP ML Top 10 為框架，針對機器學習中的常見安全風險並結合實際的深度神經網路 (DNN) 攻擊示範，詳細解釋各項攻擊原理。

此次演講將涵蓋以下議題：輸入資料攻擊(如對抗式樣本生成)、數據竄改攻擊(資料污染)、模型反推攻擊、模型竊取、以及 AI 供應鏈攻擊等。透過這些案例，聽眾將能夠清晰了解每項安全風險的運作方式，進而用來設計有效的防禦與偵測機制。

從 2018 年 Lojax 首次利用 UEFI Bootkit 進行攻擊以來，MosaicRegressor、Trickbot、FinSpy、Especter、MoonBounce、CosmicStrand，以及 2022 年被放到暗網販賣，2023 年開源的 BlackLotus 等惡意程式接連出現，凸顯了這項技術在資安領域的潛在威脅。

本次分享將整理 Bootkit 的相關資料，從基礎的 UEFI 背景知識開始，聚焦於攻擊者如何繞過 Secure Boot，成功執行惡意 EFI 程式，達成持久化控制（Persistence）。與 BYOVD（Bring Your Own Vulnerable Driver）攻擊相比，Bootkit 從啟動階段就介入執行，影響作業系統各功能的初始化過程。另外 Bootkit 可以修改 SPI Flash，即使在作業系統重灌後仍能持續運作。

此外，議程將剖析攻擊過程中的技術細節，包括如何繞過安全機制以及在 Boot Loader 階段執行的手法，同時探討可能的偵測與防禦方式。雖然此類攻擊發生在啟動階段讓防毒軟體難以介入，但透過攻擊的準備過程與利用後的行為模式，仍能找到有效的偵測線索。希望藉由本次分享，讓更多人認識 Bootkit 的威脅。

隨著太空技術的成本效益提高，衛星網路不再專門用於科學或軍事目的。 無論為私營或政府部門的 OT 環境都比過去更常使用到低軌衛星技術。然而 2024 年，全球所關心的烏俄戰爭、以哈戰爭，創造了許多因地緣政治因素而出現的瘋狂的攻擊行為，尤以衛星網路儼然成為影響的戰局的重要目標，過去的攻擊理論正實際發生在我們現實之中。

本研究對太空產業的架構進行了探索和研究，由於效能的限制與特殊的開發需求，使太空產業遭受到難以直接防禦的攻擊。本演講除了透過正發生 APT 戰爭說明這些攻擊手法外，為了減緩衛星網路使用者遭進一步地衝擊到他們的 OT 環境，本研究蒐集了美國、歐洲、日本近年來針對衛星網路的資安政策。從中我們歸納出客觀適用於衛星網路使用者的指導原則，並分別以供應鏈、端點、網路面相進行說明。

Cisco Talos 發現了一種名為「DragonRank」的新駭客攻擊組織。這個攻擊組織主要針對亞洲國家和歐洲的少數國家，利用 PlugX 和 BadIIS 等進階惡意軟體進行搜尋引擎優化 (SEO) 排名的操縱。

DragonRank 利用 Web 應用服務中的漏洞來部署 Web Shell，然後用Web Shell於收集系統資訊並放置惡意程式。他們的惡意軟體庫包括惡名昭彰的 PlugX 惡意軟體，它採用熟悉的 DLL 側載技術並利用 Windows 結構化異常處理 (SEH) 機制來確保載入的順暢和不被防毒軟體給偵測。此外，他們還在受感染的 IIS 伺服器上部署 BadIIS 惡意軟體，和運行各種帳戶密碼與憑證的竊取軟體。

我們的研究證實，此次攻擊活動中有超過 35 台 IIS 伺服器遭到入侵，感染範圍遍佈泰國、印度、韓國、荷蘭和中國等不同地理區域。此外，Talos 還發現了 DragonRank 的商業網站、商業模式和即時通訊帳戶，因此我們有中到高的信心評估該組織是由一名講簡體中文的攻擊者運作的。

本次會議我們將深入探討 DragonRank 所採用的策略、技術和程序 (TTP)，為其營運模式和我們的見解。我們還將討論這種威脅的影響，並提供如何加強對此類複雜網路攻擊的防禦建議。

過往衛星製造、設計和發射相關的高成本限制了政府單位或研究機構的衛星生產。然而，近年來由於小型衛星尺寸較小，發射成本大幅降低，小型衛星的開發和廣泛使用已經出現，如立方衛星以及衛星網路。同時，社群開發衛星協定和 自製衛星專案的項目也相繼出現。這項研究分享了對過去衛星攻擊研究中發現的經典漏洞的見解，以及新發現的漏洞。本演講將分享近期的開源衛星專案 SPACECAN，以及已有十年歷史的開源衛星通訊協定 libcs​​p 中的安全漏洞並帶入衛星服務的攻擊面與可能的安全風險。

使用人工智慧產生 IPS 規則在增強網路安全方面具有巨大潛力，特別是在檢測複雜和不斷變化的威脅方面。然而，它並不是靈丹妙藥。人工智慧模型可能會產生過於寬泛或具體的規則，從而導致誤報（過度警報）或漏報（遺漏威脅）。大量人工智慧產生的規則可能會降低 IDS 的效能，尤其是在高吞吐量網路中。根據評估，結合人工智慧和人類專業知識優勢的混合方法可能是目前產生人工智慧驅動的 IPS 規則較適合的方法。

1.雲原生系統分持加密備份執行經驗分享：依行政部門關鍵民生系統精進雲端備份及回復計畫，於2024年執行整體跨雲分持加密備份架構建置與演練。

2.雲原生應用程式防護平台與雲端治理框架之後續展望：執行上述專案時，雲原生系統亦採用 CNAPP 進行組態合規、資安態勢、弱點威脅等防護，另為規劃後續擴展相關成果至其他單位採用公有雲之雲原生價更，確保其他單位採用雲端時之管理政策落實，亦研擬本部之兩大雲端登陸區域( Landing Zone )架構。

紅到發紫 ：紅隊整合 CTEM、BAS 與 MITRE ATT&CK 框架的實戰經驗分享

在這次的演講中，我將與大家分享多年來在紅隊演練中累積的實戰經驗，特別聚焦於近兩年在持續威脅暴露管理（CTEM）和 Breach and Attack Simulation（BAS）方面的心得。隨著網路攻擊手法日益多樣化，企業所面臨的威脅也越來越複雜。為了有效應對這些挑戰，我們需要一個系統化的方法來識別、管理並減少企業的暴露面。

演講將深入探討如何結合 MITRE ATT&CK 框架，打造全面的紅隊演練策略。MITRE ATT&CK 提供了詳細的攻擊技術矩陣，讓我們能更精確地模擬真實世界的攻擊手法，找出防禦系統的薄弱環節。透過將 CTEM 與 BAS 整合進這個框架，我們可以系統性地分析攻擊者的行為模式，提升攻擊模擬的真實性和有效性。

此外，我將分享生成式人工智慧（GenAI）在紅隊演練中的新應用。隨著 GenAI 技術的迅速發展，攻擊者的手法變得更加智能化，這對我們模擬威脅和繞過防禦系統提出了新的挑戰。我會展示如何利用GenAI技術，提升攻擊模擬的深度和廣度，協助企業提前因應未來可能出現的新型態威脅。

演講中也會分享實際案例，展示 CTEM、BAS 和 MITRE ATT&CK 如何在實務中結合應用，以及在演練過程中遇到的挑戰和解決方案。這些案例將涵蓋威脅發現的流程、自動化技術的應用，以及如何優化防禦策略，提供具體可行的建議。

透過這次的分享，期望讓聽眾快速理解紅隊演練在現代風險管理中的關鍵角色，並獲得實用的策略與建議，提升企業的安全韌性。無論您是資安專業人士，還是對紅隊演練有興趣的朋友，都能從中獲得啟發，為企業建立更堅實的防禦基礎。

本次議程將以中立角度，從甲方與乙方的觀點出發，與會眾共同探討使用雲服務時的管理與技術風險考量。議程以企業管理資源有限為前提，針對希望入門雲端安全的資安從業者，深入探討在實務操作中面臨的各種挑戰與經驗。我們將介紹常見的雲端技術實務問題及應對方法，並透過實際案例分析不同情境的使用風險。主題涵蓋分散與集中式雲端管理經驗、身份與存取管理安全、虛擬網路架構、工作負載（Workload）安全、相關資安框架以及雲端儲存服務等等的設定錯誤、資源現況考量與實務經驗等，提供一些架構設計、合規與技術解決方案的想法。

生成式 AI 技術快速發展，隨之而來的是全新的安全合規挑戰。本次分享將從案例說明為何僅依靠模型供應商無法完全排除相關風險，並介紹最新的開放 AI 模型保護技術，例如 Llama Guard 的實務經驗。

此外，本次還將分享生成式 AI 落地的安全與合規架構，包含設計考量、實作細節與導入案例。聽眾將了解如何在系統設計階段納入生成式 AI 的防護措施，並掌握應對合規風險的經驗。

無論您是技術決策者、資安專家或軟體架構師，都將在本次分享中獲得啟發如何在生成式 AI 普及的浪潮中，建立安全可靠的技術基礎。

汽車與 IoT 設備上有各種資安攻擊面，包括手機 App/ 無線電/雲端伺服器/物理性介入等。

隨著資訊發展，這些設備有越來越多的聯網界面，帶來方便的同時，也使攻擊者有更多侵入汽車與 IoT 設備的途徑。

本議程將從攻擊者的角度，以實例去探討汽車與 IoT 設備各種安全隱憂。

隨著針對 Windows 平台的攻擊技術不斷演進，攻擊者越來越頻繁地使用 LNK 文件作為攻擊媒介。LNK 文件是 Windows 系統中常見的捷徑方式文件格式，設計上可以指向應用程式或文件位置，提供快速方便的存取功能。然而，這種特性也成為惡意攻擊的突破口。本報告深入探討攻擊者如何利用 LNK 文件在 Windows 平台上實施感染，並針對當前普遍的攻擊手法進行剖析。

在這波 AI 革命中各式基於 Transformer 已成功將 AI Intelligence 以 GPT 聊天機器人形式在民生與商業場景遍地開花成果，這道熱浪的興起使 各大頂級資安解決方案已證實了自動化鑑識與網管輔助對話機器人能實務有效輔助網管的資安調查與回應需求，如 Defender Copilot。然而 LLM 難以根治的先天幻覺問題，其推理能力仍難以解決防不勝防的野外威脅出其不意地發動攻擊。

因此，能否打造無需人工交互的 AI 偵測引擎，以達無網管與鑑識人員前提下的 24/7 全態勢監測——落地於場域中執行程式能由預先培訓的本地 AI Agent 實時操作逆向工程分析、推理、鑑別並自動化做出回應、而無需人工交互，成為了次世代端點防護偵測的新思路… 我們能否以大規模樣本、將逆向分析師的能力煉化一個 AI 專才模型？

在這場議程我們將從學術研究中陪伴聽眾踏上找尋仿生逆向聖杯的道路，如何從基於經典 Attention 模型的 NMT（Neural Machine Translation）轉換為具有符號理解與推理能力的 AI Agent 並培訓為實務端點偵測的逆向推理引擎。

隨著企業雲端轉型，Kubernetes(K8s) 已成為不可或缺的工具。K8s 帶來容器服務可擴展的靈活性，使其成為現代雲端基礎設施的核心，但其資安問題一直備受關注。K8s 的複雜性帶來新的安全挑戰，需要企業在部署和管理過程謹慎應對。本議程將探討 K8s 與容器服務在合規方面所面臨的需求。隨著各國對資料隱私和資安的法規日益嚴格，企業必須確保其 K8s 部署符合相關法規要求。因此，錯誤設定是 K8s 安全的主要風險之一。錯誤的設定值可能導致未經授權的存取、資料外洩和服務中斷等嚴重問題。議程還分析常見的 K8s 與容器服務被駭客利用的攻擊手法，這些攻擊可能對企業造成重大損失。為了幫助企業構建安全可靠的 K8s 環境，議程將提供實用的建議與控制措施說明。企業可以有效降低風險，確保其 K8s 環境的資安與可靠性。

本演講聚焦於台灣十大常見網路設備品牌的高風險漏洞盤點，目的是揭示這些設備中的漏洞現況與攻擊族群的行為模式。研究基於大規模的廣域掃描，統計設備漏洞的數量與類型，並進一步探討漏洞與地區分布、協定特性之間的關聯。演講將深入解析攻擊族群如何利用這些漏洞，包括他們的利用方式及常見手法，特別關注攻擊行為的趨勢與對設備安全的影響。

隨著大型語言模型（LLM）推理模型（reasoning model）與人工智慧代理（AI Agent）的快速迭代，LLM 已成為各行各業推動效率與創新的重要技術組件。然而，複雜的應用場景與 AI 風險使企業在導入 LLM 時面臨極高的挑戰。本次演講將探討 LLM 在風險驗測上的困境，並提出 LLM-as-a-Judge 的創新驗測方法，以協助企業有效應對這些挑戰。講者將深入分析 LLM-as-a-Judge 的架構與關鍵成功因素，讓聽眾了解如何透過創新的 LLM 驗測方法，強化 AI 系統的安全性與可信度，為組織在 AI 風險驗測與管理奠定堅實之基礎。

隨著智慧汽車技術的快速發展，車輛與各種智慧裝置之間的無縫連接成為提升駕駛體驗的一大亮點。然而，這也帶來了對藍牙安全性的重大挑戰。藍牙作為智慧汽車與手機、耳機、娛樂系統等設備之間的主要通訊協定，容易受到駭客攻擊，可能導致個人數據泄露或車輛系統被遠程控制。因此，加強藍牙通訊的安全防護，成為保障智慧汽車安全的重要課題。

在本次議程中，將會帶各位檢視近期數個與汽車產業相關的藍牙漏洞。一開始將從 2024 年數家充電樁在藍牙上的實作錯誤作為起點切入，接下來帶到 2023 年因 vendor SDK 的實作錯誤而導致的 TESLA 組合攻擊，之後則是基於 Linux 藍牙子系統本身實作錯誤與藍牙規範未定義行為而導致的漏洞，並在最後以藍牙開發注意事項與緩解措施作為總結。

1. 為何雲端安全監控至關重要？ 傳統地端環境的安全防護策略已不足以應付雲端的複雜性。雲端環境具備動態擴展、多租戶等特性，使得安全威脅更難以預測和防範。唯有建立完善的監控機制，才能即時發現異常行為，降低安全風險。

2. 雲端與地端監控的差異： 雲端環境的安全責任模型與地端截然不同。需要了解雲端供應商的安全責任範圍，並針對自身業務需求，部署額外的監控措施。本次演講將剖析兩者間的關鍵差異，協助您制定更全面的安全策略。

3. MITRE ATT&CK 雲端矩陣： MITRE ATT&CK 框架是理解和分類攻擊者行為的有效工具。我們將介紹如何運用 MITRE ATT&CK 雲端矩陣，識別雲端環境中的潛在威脅，並強化防禦措施。

4. 關鍵日誌收集與分析： 有效的雲端安全監控仰賴完整的日誌數據。演講中將探討雲端環境中需要收集的關鍵日誌類型，例如雲端服務的活動日誌、虛擬機器的系統日誌、網路流量日誌等，並說明如何分析這些日誌以識別異常活動。

5. 建立監控規則與警報： 制定有效的監控規則是及時發現威脅的關鍵。我們將分享實務經驗，說明如何設定監控規則和警報閾值，並結合自動化工具，提升安全事件的應變速度。

特徵碼——這是現代資安解決方案的基石卻也是研究員的夢魘。雖然其有著低誤報高準確的特性、但也需分析專家曠日費時戴上老花眼鏡的在二進位內容中肉眼尋覓獨特字串並撰寫為偵測基準，其耗費的人力資源成為當前安全行業的一大痛點。因此，能否導入人工智慧解決大規模惡意程式上的特徵碼撰寫成為了產業引頸期盼的問題共識、自也成為了新興的資安學術話題。

這場議程我們將從兩份在頂級研討會 AAAAI 基於 NVIDIA 開創性研究說起，如何以 Ngram 角度將執行程式的完整內容切片為多個具有原始程序開發者的語義、並以卷積視覺策略自動化提取出那些高熵且獨具開發者特色的字串定義為特徵碼有效查殺，並於八十萬支樣本的雙盲測試中達到 98% 偵測率，展現極為優良的語義偵測表現。並在議程尾聲我們總結了此方法落地於產品中的優缺與侷限性，以幫助聽眾能對此類偵測技術能有濃厚的興趣與認識。 

雲端平台與 SaaS 應用已成為企業部署趨勢，為實現身份集中管理並簡化使用者登入流程，企業通常採用單一登入（SSO）解決方案。對於擁有 AD 網域的企業，常見的方式是透過同步或委派身份驗證，將地端身份資訊傳遞至身份提供者（IdP，如 Entra ID、Okta），再由 IdP 整合其他雲端服務（如 AWS、GCP）或 SaaS 應用。其背後的協定（如 SAML、OIDC）也廣泛應用於 Workload Identity 跨平台資源存取。然而，這些協定的安全性依賴於 IdP（包括 AD）與雲端服務提供者（CSP）之間的信任關係。一旦關鍵節點遭受攻擊，可能導致服務被濫用，進而對企業整體安全構成威脅。

本研究將深入分析地端關鍵元件面臨的威脅（如：Golden SAML、Agent Spoofing）& Workload Identity 在多雲 & 雲地混和環境中潛在風險以及 IdP 的設定錯誤（如 Silver SAML）可能造成的影響，並提出應對跨平台威脅的防禦策略，探討如何避免常見的不安全配置，並提供實踐建議以設置合理的安全邊界。

在此研究中發現在市場上規模龐大的 OEM 廠商所製造的 Apple CarPlay Dongle/Adapters 具有許多安全性的風險，本該讓使用者方便的外接設備卻有可能成為駭客攻擊的入口點。將分享研究動機與過程，如何安全的實作 IoT 裝置，並減少攻擊面。

今天當 APT，撿到員工帳密，但進不到公司內部的特權網路？請法師幫你用「VPN 觀落陰」，解決你的問題。「VPN 觀落陰」可以讓你在四家 SSL VPN 當中穿透防火牆和路由規則，進到你想去的網路，順便逃離網路偵測。

本演講將介紹「VPN 觀落陰」攻擊，其是源自於一針對 SSL VPN 韌體安全與網路協定的研究。由於 SSL VPN 於近年來獲得大量使用，但其並無標準公開協定的特性，使得各廠商開始自訂專用協定與自訂認證、連線流程，導致漏洞接連被研究者與各攻擊族群找出；同時，美國 CISA 美國 NSA 於 2021 年發佈的指南當中，也基於各家並無統一標準等原因，建議不要使用 SSL VPN。鑿於此，講者對了各 SSL VPN 進行韌體分析、研究其網路架構與 VPN 實作，並在四家廠商當中找到能夠以同一種攻擊手段（甚至同一種 PoC 可重複使用）穿透防火牆與路由規則的攻擊手段。

講者亦會介紹一套為了試著對 SSL VPN 進行 Fuzzing 而開發的工具，與該如何針對其韌體進行分析等。

GenAI 的熱潮近年席捲各種不同的產業領域，汽車產業也不例外。

不管是從提升客戶使用體驗、駕駛操作安全性、道路危險偵測等用途，使用 LLM 或者 GenAI 來提升產品價值是個很多廠商正在挑戰的項目。

車用晶片大廠之一—高通—也於 2024/10 的 tech day 大力描繪未來車用平台上裝載 GenAI 等次世代服務模型的美好想像。

然而要將從雲端 GPU 陣列養出來的 GenAI 落地到地端甚至車端本身就不是一件簡單的事情，且這過程會伴隨著各種全新的安全風險。

本議題將分成主要兩個階段探討，前半將會討論如果要務實地將 GenAI 落地到車端有什麼樣的架構與方案可以選擇，後半將逐一剖析各種方案的安全風險，包含過去有些已經被實證有所疑慮的功能以及針對未來大規模使用此技術的前瞻性安全分析，並最後給予相關的安全建議。

In this deep dive session, we'll explore fundamental yet often overlooked aspects of cloud security that every organization should address. Drawing from real-world consulting experiences, we'll discuss why many organizations struggle with cloud security, particularly in shared responsibility, security governance, and incident response readiness.

Through practical examples and lessons learned, attendees will learn how to move beyond compliance tick-box exercises to establish adequate cloud security controls. We'll examine the actual cost of security operations and demonstrate how proper preparation and automation can enhance security posture and operational efficiency. This session will provide actionable insights for organizations at any stage of their cloud journey, helping them build a robust security foundation aligned with industry best practices.

SCCM（Configuration Manager）是微軟提供的一套解決方案，用於協助企業集中管理 Windows 電腦、伺服器及其他設備的配置與軟體部署。隨著 AD CS 安全研究的深入，微軟 AD 相關服務中的潛在安全風險成為關注重點，其中 SCCM 因其與設備高度互動的特性，被發現存在超過 20 種已知的安全隱憂。這些風險包括但不限於：低權限網域使用者可能取得 MSSQL、SMS、AD CS 等 Tier 0 資產的控制權。

本次議程將聚焦於 SCCM 的安全性議題，深入解析 SCCM 的運作原理與常見錯誤配置，這些錯誤可能成為攻擊者滲透的切入點。

LLM（大型語言模型）開始被廣泛應用於各種不同的場景和平台，這一現象顯示了其在當今科技中的重要性。然而，作為這些多樣化應用的核心，LLM 本身卻顯得相對脆弱。除了我們早已熟知的提示注入（prompt injection）和越獄（jailbreak）這兩種攻擊手法外，這一年來，針對 LLM 的攻防技術不斷推陳出新，攻擊者可能會設計出各種創新的方法來突破模型的防禦。即使是原本的提示注入和越獄攻擊，也不斷出現新的變形和演變。這些發展顯示了在使用 LLM 的過程中，我們必須保持高度的警覺。因此，本次演講的目的是傳達有關 LLM 的最新攻防知識，幫助參與者更好地了解如何保護這些系統，並運用適當的安全策略來應對潛在的威脅。我們也將稍微探討如何進行 AI 模型、系統和產品的測試。這不僅僅是一個技術性的話題，而是涉及到如何在不斷變化的數位環境中，確保 LLM 的安全性與可靠性。希望透過這次演講，各位能夠深入理解這些挑戰，並在未來的工作中更加從容地應對各種可能出現的安全問題。