[JP] 悪性MSIXファイルの台頭

SANS Asia Pacific DFIR Summit 2023
悪性MSIXファイルの台頭
講演者: 小池倫太郎、林匠悟

2023年2月以降、私たちはMSIXファイルを使った攻撃キャンペーンを観測しています。MSIXファイルはMSIファイルの後継として登場したフォーマットですが、その認知度は低く、多くの人はそれ自体を知りませんし、もちろん悪用事例も知りません。本講演では、はじめにMSIXファイルの基本的な情報を紹介します。それにはファイルフォーマットや基本的な動作、また作成方法を含みます。 その後、具体的な悪用事例を紹介します。具体的には、SteelCloverという金銭をモチベーションとした攻撃グループによる事例を詳細に示します。特にPSF (Package Support Framework) について深く掘り下げます。これによって、聴衆はMSIXファイルを悪用した具体的な侵害事例について、その攻撃フローや挙動について理解することができます。 最後に、こうしたMSIXファイルを悪用した攻撃について、その検知や防衛策を検討します。これにはEDR製品で扱うことのできるような具体的な検知ロジックを含みます。本講演によって、SOCやIR、CSIRTなどの担当者は、MSIXファイルを悪用した攻撃事例について、具体的な悪用事例や挙動を深く理解し、具体的な対策を行うことができるようになります。

#APACDFIRSummit #Cybersecurity #DFIR

asia asia pacific cybersecurity dfir framework pacific package sans summit support