雲端惡意程式鑑識與行動平台安全檢測建置計畫(1/2)

Abstract

隨著行動科技的進步，隨身行動裝置具有越來越多的運算能力，行動裝置結合雲端運算已成為一個主流的媒體載具。人們開始大量地利用智慧型行動系統來便利生活，卻也造成了資訊安全的隱憂。不同於以往，使用者隨時可與網路連結，讓惡意攻擊者有更多的管道植入惡意程式或是入侵系統以竊取資料。另一方面，利用雲端儲存達成資料的可攜性，同時讓駭客有更巨大的利益來滲透雲端系統，且可讓攻擊的目標更為明確。以上兩個資安問題，是近半年發生在Google雲端與Android行動平台上的真實案例，行動裝置與雲端行動平台之間互動機制安全，已經是刻不容緩。除了傳統的身份認證資安技術外，未來短小輕薄的智慧型行動裝置將更為仰賴以雲端為軸心的集中儲存、運算與安全防護，其中惡意程式的行為分析、偵測、與個人資料竊取問題，更是亟待解決。 本中心TWISC＠NCTU於今年提出「雲端數位鑑識與雲端市集安全服務平台」建置計劃，研發重點有兩大項目，分別為「雲端數位鑑識與安全檢測」與「雲端市集 (Android Market) 安全服務平台」。在「雲端數位鑑識與安全檢測」方面，目標是建置一雲端惡意程式基因庫，本計劃不僅將蒐集惡意程式樣本，儲存至我們開發的雲端樣本儲存系統後，並且將進行惡意行為側錄、發掘基因並儲存至基因資料庫。同時，透過我們所開發的新型「線上反反偵測惡意程式基因定序工具」，讓分析人員可以直接在瀏覽器內連線至我們的虛擬機器分析器，進行惡意程式的行為分析、基因定序與心得分享。本計畫另一大重點為「雲端市集 (Android Market) 安全服務平台」，目標為建置一安全Android Apps應用程式平台市集、開發「Android Apps資料竊取偵測」「Android Apps應用程式品質評估與安全漏洞分析」、「Android Apps應用程式組態分析」，以及「Android作業系統滲透測試」、「高安全性儲存媒體的隱私防護與檢測」等技術，為目前的Android市集提供更加全面性的安全防護機制。因此，為了方便整合計畫內容，本團隊將建構一個封閉式的雲端運算平台（Private Cloud），來進行多面向的分析與行動平台安全服務。除了可以整合計畫研究資源，也可以更實際地推廣到更多的使用者。本研究團隊經過與產官研多方面聯繫後，瞭解市場需求，並且敲定接收者，包含簽約中的工研院（目前正進行技術移轉，再進行三年產學合作計劃）、已經簽約的中華電信、友訊科技Dlink、喬鼎（國內網路儲存設備NAS第一品牌）、調查局、交大計中、趨勢科技、宏達電，未來將進行產學合作。 本計畫建置項目包括1. 開發惡意程式基因碼自動發掘與分辨技術，建構惡意程式基因資料庫、與惡意程式行為分析系統（本系統將修改VM，在VM下進行分析惡意程式機器碼binary code以及污染源分析taint analysis，萃取惡意程式基因碼，進而發現signature-based防毒軟體無法偵測的變種惡意程式之共同根源與行為。可用於儲存媒體檢測與鑑識分析技術；含儲存媒體惡意程式安全檢測與鑑識分析系統、電子郵件及其檔案安全掃描系統）。2. 線上反反偵測惡意程式基因定序工具（直接在瀏覽器內連接本中心之虛擬機器，並對惡意程式基因資料庫中的基因，分析其行為與原理，且透過本研究中心開發之反反偵測技術避免惡 意程式匿蹤行為）。3. 安全雲端資料儲存系統（高安全可靠度之雲端資料儲存系統技術、雲端資料完整性檢測系統與技術）。4. Android Market Apps應用程式竊取個資偵測系統（透過資料流向分析技術偵測應用程式有否從事隱私資料竊取行為）。5. Android應用軟體品質評估與漏洞檢測系統。6. Android軟體組態分析系統（偵測程式組態是否遭到破壞或修改），以及7. Android作業系統安全性分析與滲透測試（雲端行動智慧終端作業系統支安全性分析; 包含 Android 各版本作業系統之安全性分析技術）。透過以上系統之建置整合，期能收集惡意程式之共通基因程式碼片段，做為分析人員未來分析上之知識庫，並且對目前的行動裝置平台提供更多的安全機制與檢測。 交通大學發展資安已有多年歷史，中央研究院並於2005年合作成立交通大學資通安全研究與教學中心 (TaiWan Information Security Center, TWISC@NCTU)，配合李德財院士推動資安相關研究。TWISC@NCTU在2009以及2010年開發了異質多網安全檢測平台以及十餘個資安檢測工具，服務對象包括眾多政府機關、財團法人、產業界及高科技廠商，過去三年產學合作十餘項，金額達一千五百萬，榮獲2011年國科會優良網路通訊國家型研究計畫獎。TWISC＠NCTU經多年努力，目前已經蒐集十餘萬隻各類型新式變型惡意程式，並正在持續發展惡意程式基因解碼技術，以建構與儲存惡意程式基因庫，研究團隊2010年、2011年連續兩年獲得台灣駭客年會War game冠軍。主持人目前擔任總統府國家安全會議顧問，國家資通安全會報技服中心惡意程式交流聯盟主席，總統府國家安全會議若發生網路攻擊，將送往本中心分析惡意程式行為與鑑識，國家資通安全會報技服中心檢測網站也已經連結本中心網站，將無法偵測出來的可疑惡意程式可選擇轉上傳至本中心網站,分析惡意程式行為‧本計劃以此龐大的惡意程式資料庫、駭客級的研發團隊為基礎，將可協助提昇我國政府資安防護能量，產業界的資安研發能量。

Along with the progress of mobile hardware devices, mobile applications became indispensible in ubiquitous computing. However, the emerging platform also drew attention of malicious attackers since more personal and sensitive data are stored in these devices. In fact, recent studies already indicated that the Android operating system, although equipped with more advanced mechanisms, had been infiltrated by numerous trojans and spyware programs. These malware disguised as normal Android applications and are published onto the Android market for users to download. In this project, we intend to construct a malware genome database to collect massive malware samples and extract their basic building blocks. The collected genome could be used to future identification of unknown malware. In addition, we shall utilize multiple software testing and analysis techniques to build an advanced software verification system. The two systems shall cooperate closely to provide abundant malware analysis and detection. We believe that the proposed systems could be practically applied existing cloud services such as Android application market or cloud data storages.