Time Table

仮想化プラットフォームは長らく企業インフラの中核を担ってきましたが、いまや国家レベルのスパイ活動グループにとって新たな遊び場となっています。かつてランサムウェア攻撃者にとって「最大の被害をもたらすゴール地点」と見なされていたものが、現在では永続化、権限昇格、そして秘匿性の高い横展開のための「高速道路」へと進化しています。 本セッションでは、Sygniaがいくつかのインシデント対応の現場で追跡した中国系の脅威アクター「Fire Ant」に関する詳細なケーススタディを紹介します。発表はまるでテクニカル・スリラーのように展開し、ゲストVM内での不可解なアラートから始まり、調査員をハイパーバイザー、さらにはその先へと導きます。

私たちは、Fire Antがどのようにして以下を行ったのかを詳述します：

• vCenterおよびESXiの脆弱性を悪用し、永続的なバックドアを設置
• PowerCLIを乱用し、ハイパーバイザー層からゲストVM内でコマンドを実行してエンドポイント防御を回避
• ESXiのログを無効化し、調査者の目をくらます
• インベントリシステムから見えない隠し不正VMを展開
• 侵害したVMにパブリックIPを割り当て、インターネットに直接さらされる侵入拠点へと変貌させる
• ルートキットを含む高度なステルス技術を駆使し、対応作業中であってもレジリエンスを維持

さらに本プレゼンテーションでは、Fire Antの戦術を明らかにするだけでなく、我々が用いた調査手法についても解説します。NetFlow、ARPテーブル、PowerCLIスキャンを相関させ、通常なら見逃される攻撃者の活動を暴いたアプローチを紹介します。

参加者が得られるものは以下です：

• ハイパーバイザー層におけるスパイ活動の技術的青写真
• 監視されていないインフラに対する実践的な検知・調査手法
• 国家レベルの適応型アドバーサリに直面したとき、インシデント対応がどう進化すべきかという戦略的な教訓

これは、ハイパーバイザーの下でAPTと戦う現実を、インシデント対応の最前線から伝える貴重な一幕となります。

Speakers:
Asaf Perlman（アサフ・パールマン） Sygnia インシデントレスポンス チームリーダー