- When: May/9(Thur) ~ May/10(Fri) 2019
- 17:00 ~ 22:00
- Where: Bundang-gu, Seongnam-si, Korea
ChamChiCon is a highly private security meet-up. This is a gathering where we share information that are not usually shared in public conferences. The subjects can cover threat intelligence, threat hunting, threat analysis, vulnerability research and reverse engineering area. It can be methodolgy, tool usage or intelligence. Any information that has a value in enterprise and corporate security can be presented. All information will follow NDA and should not be shared outside the conference unless explicitly allowed by the speaker.
Time Table & Reservations
May/9/2019 (Thr) - Technical Sessions
Start | End | Name | Speaker | Description |
---|---|---|---|---|
17:00 | 17:20 | The Hitchhiker’s Guide to the Cloud Security | June Park | - |
17:20 | 18:10 | Automatic Decoding of Highly Obfuscated PowerShell Code | Matt Oh | Description / Ticket |
18:10 | 18:40 | Non-ActiveX + IOT = OLLEH :) | XXXXX | Description / Ticket |
18:40 | 19:00 | Tea break/buffer | - | - |
19:00 | 19:50 | Practical Threat Hunting | somma | Description / Ticket |
20:00 | 20:50 | Betrayal of Reputation: Trusting the Untrustable Hardware and Software with Reputation | Seunghun Han | - |
21:00 | 21:50 | Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypasses | x82 | Description / Ticket |
May/10/2019 (Fri) - Intelligence Sessions
Start | End | Name | Speaker | Description |
---|---|---|---|---|
17:00 | 17:50 | 4차 산업혁명시대 지능형 제어기기 보안 | Jungmin Kang | Ticket |
18:00 | 18:50 | Do not blame your parents: from plastic spoon to personal TI environment | EMNSTR | Description / Ticket |
19:00 | 19:30 | 주제 비밀 (특정 액터 연구) | hypen | Ticket |
19:30 | 20:00 | 해커그룹 004 의 공격패턴과 특징, 그리고 흔적 | JC Lee | - |
20:00 | 20:50 | PE보다 스크립트 - 핵인싸 악성코드의 진단 우회방식 | jz | Description / Ticket |
21:00 | 21:50 | Tick Tock Tick tock - Tick 그룹의 동아시아 지역 10년 활동 | mstoned7 | Ticket |
Current Programs
Here’s the list of accepted proposals. The speaker name might be obfuscated if the subject is sensitive or the speaker doesn’t want to disclose his/her identity.
Automatic decoding of highly obfuscated PowerShell code
- Speaker: Matt Oh
- Duration: 50 minutes
- Type: Technical
This session will focus on the strategic approach to decode highly obfuscated PowerShell code using automatic method.
Non ActiveX + IoT = Olleh :)
- Speaker: XXXXX
- Duration: 30 minutes
- Type: Technical
Phishing을 통해 공격 대상을 Non ActiveX 취약점을 공격하는 페이지로 유도하고, 최초 감염자를 통해 기업 내에 존재하는 네트워크 장비를 공격한 뒤 기업 내부 데이터를 수집하고, 내부망을 제어하는 시나리오를 시연하려고 합니다. 시연을 통해 Non ActiveX와 기업 내에 존재하는 네트워크 장비의 위험성에 대해 공유하고, 이러한 형태의 공격을 무력화하거나 최소화할 수 있는 방안에 대해서 함께 이야기할 수 있으면 좋을 것 같습니다.
Practical Threat Hunting
- Speaker: somma
- Duration: 50 minutes
- Type: Technical
Threat Hunting을 통해 Living off the land 타입의 공격들을 탐지하는 몇가지 사례들을 알아보고, 엔드포인트 보안 기술의 발전 방향에 대해서 알아봅니다.
Analysis on a very active threat group
- Speaker: Oamaru
- Duration: 30 minutes
- Type: Intelligence
This talk is about a threat group which is very active and aggressive recently. I want to show their mailer attack tool and phishing site discovered from the server. This will shed some lights on the infrastructure of the threat group.
Do not blame your parents: from plastic spoon to personal TI environment
- Speaker: EMNSTR
- Duration: 50 minutes
- Type: Intelligence
I’ve been asked a question like following many times.
“How do you gather intelligence and how do you analyze the relationship between them?”
There is no right or wrong answer, but I would like to introduce my know-hows and tips that I learned through my career in this field. Also, I will talk about a threat intelligence analysis system I built myself. I can share a case where my method and tools actually helped us to identify an actor.
PE보다 스크립트 - 핵인싸 악성코드의 진단 우회방식
- Speaker: jz
- Duration: 50 minutes
- Type: Intelligence
A bunch of spear phishing mails arrived in LINE employees’ mailbox along other companies’. The very tip of this spear starts from Excel file containing obfuscated VBS, flows on with steganography, obfuscated powerscript, in-memory C# and downloader DLL. It contains various tricks to avoid detection. This talk will cover deobfuscation and reverse engineering of binary modules, how they avoid detection and cut off analysts.
Tick Tock Tick tock - Tick 그룹의 동아시아 지역 10년 활동
- Speaker: mstoned7
- Duration: 50 minutes
- Type: Intelligence
틱 (Tick) 그룹은 Bald Knight, Bronze Butler, Nian, RedBaldknight 등으로도 알려졌으며 이들의 주요 목표는 한국과 일본의 기관과 기업이다. 이 그룹은 2016년에 명명 되었지만 한국에서는 2008년부터 관련 악성코드가 발견되었고 이 그룹의 활동은 2014년부터 확인되었다. 틱 그룹은 10년 이상의 활동 기간 동안 Bisodown(Homam), Gofarer, Daserf, Netboy, Xxmm, Datper 등 다양한 악성코드를 사용했으며 여러 보안 업체에서 이 그룹의 활동, 악성코드와 악성코드 빌더 등의 정보를 공개했다. 이 발표에서는 Tick 그룹의 공격 방법, 한국을 중심으로 한 동아시아 지역에서의 주요 활동, 사용된 악성코드의 특징과 보안 프로그램을 우회하기 위한 기법에 대해 얘기한다. 이 그룹 관계자가 실수로 노출한 각종 내부 도구를 통해 그동안 알려지지 않았던 새로운 정보도 공개한다. 끝으로 기존에 공개된 정보로 바탕으로 추가 정보를 추적하는 과정과 연구가들과의 협력 방안을 고민해 본다.
4차 산업혁명시대 지능형 제어기기 보안
- Speaker: Jungmin Kang
- Duration: 50 minutes
- Type: Intelligence
폐쇄적이었던 ICS(Industrial Control System) 환경이 독일의 인더스트리 4.0 정책 추진을 시작으로 다양한 ICT 기반기술과 접목되면서 개방형 ICS로 급격하게 변화하고 있습니다. 반면, 제어시스템 핵심 구성요소인 다양한 지능형 제어기기들은 더 심각한 보안 위협 노출에 직면하게 될 것입니다. 현장에서 많이 운용되는 PLC(Programmable Logic Controller) 제어기기 취약점 분석 및 대응방안 소개를 통해 ICS 보안의 중요성을 강조하고자 합니다.
CFP Submission
We are looking for practical subjects that can be used for real world security operations. Here’s the list of some examples.
- Latest list of IOCs, TTPs for various actors that are active in South Korea or East Asia
- Some tips for using reverse engineering tools to decode/disassemble/deobfuscate certain malware that are prevalent
- Knowledge to setup event systems to monitor recent actors and prevalent malware
- Explanation on Windows ETW events that can be used to trace lateral movement
- Threat modelling
- Threat hunting methods
- Information on some interesting MITRE ATT&CK attack methods
- Information on attack simulation and how to apply it to your environment
- Latest PowerShell obfuscation technique
- Dosfucation challenge
- PE de-obfuscation examples and tactics
- Anti-VM & Anti-analysis techniques
- 3rd party 0-day vulnerabilities that can impact corporate environment
- Attack surface analysis on Korean non-ActiveX security modules and their implication on the corporate security
- Vulnerability research upon the IoT devices that can impact corporate environment security
CFP is open until April 15th. Please submit any ideas that can be useful for the community by sending email to jeongoh@darungrim.com or by using following form. We are preparing a reward program that will provide major portion of conference profits to the speakers.