TTC研發成果亮眼國際! Quark獲國際知名駭客研討會DEF CON肯定
圖1 QUARK logo
財團法人電信技術中心(以下簡稱TTC)109年開發完成可抗混淆技術之Android惡意程式風險評分系統「Quark-Engine」,獲得美國知名駭客研討會DEFCON 28 Blue Team Village肯定,同時入選HITB Lockdown 002 、EuroPython 2020等國際研討會,在國際間表現亮眼。TTC研發團隊歷經一年的深度技術研究,初登場成果即亮眼國際,研發團隊受邀在這三場研討會發表成果,向國際與會者展現臺灣的資安研發能量。
DEFCON 作為享譽全球最大的駭客研討會之一,來自世界各地的資安專家、研究員及駭客等每年都會出席這場盛會。TTC作為政府資通訊政策及技術智庫,提供資通訊產品檢測驗證、顧問諮詢及相關平台營運管理服務,為因應數位時代的安全防護,資通訊安全的相關研發也是TTC近幾年重要目標。TTC執行長范俊逸說,數位普及率越高,資通訊安全更應該被重視。後匯流時代資訊及設備串流的複雜度增加,風險也相對提高,政府、企業及民眾都需要提高資安的意識。
開發概念導入犯罪行為理論,受到國際肯定
Quark開發靈感來自於台灣刑法犯罪行為的階段理論,依照犯罪的各階段判定犯罪的可能程度,例如謀殺罪定義了犯罪的5個階段「確定」、「預謀」、「準備」、「開始」和「實踐」。Quark不僅定義了惡意活動及其階段,還開發了權重和閾值來計算惡意程式的威脅級別,以此判定惡意程式的風險程度為高風險、中度風險,或低風險,並提供各個惡意行為的相關證據。
圖2 系統針對單一進行各惡意行為之細節報告測試
惡意程式隨著新技術的發展不斷演進,使逆向工程增添不少困難。程式碼混淆是最常用的技術之一。在本系統中,團隊研發了一個Dalvik Bytecode載入器,該載入器完美搭配Android惡意行為的階段理論,且能夠忽略程式碼混淆技術。另外值得一提的是,Quark採取開源模式,在GitHub上開放原始碼,使更多使用者能夠貢獻及提出評論,希望能開發出更貼近市場需求的程式。
圖3 按照各惡意行為階段給予權重及閾值來計算威脅級別所得出之評估報告
Quark未來是否技轉,目前TTC仍在評估中,但肯定的是TTC會持續精進資安領域的研究,以鏈結政府及產業的中立第三方角色,繼續提供資通訊產業更專業、更前瞻的服務,為政府、企業及民眾創造更安全的資通訊環境。
Quark在GitHub上的連結:https://github.com/quark-engine/quark-engine