Android 실행파일 분석 (Decompile)

스마트폰 2010. 3. 24. 15:50 Posted by TEAMCR@K

Android 실행파일 분석 (Decompile)
By Dear.TOM(bdr@a3security.com)
By k3rz(kerz@a3security.com)
By kyh1026(kyh1026@a3security.com)
편집 : 니키(ngnicky@a3security.com)



1. 개요
Android 의 어플리케이션은 .dex, .xml 등의 파일들을 .apk로 압축한 형태입니다. 이를 디컴파일을 통해 소스유출, 소스변조 및 재배포 등의 가능성을 확인하였습니다.

2. 상세내역
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

Android 어플리케이션의 디컴파일 과정이며, .java 소스코드를 추출 할 수 있었습니다.

다음은 Android의 어플리케이션의 구조도 입니다.



.dex 파일은 안드로이드의 가상머신인 dalvik 에 맞게 .class 파일을 바이트코드로 바꾼파일입니다. 이를 jvm 바이트 코드로 바꿔 .class 파일을 얻어낼 수 있으면 안드로이드 어플리케이션의 java 코드를 얻어낼 수 있었습니다.

다음은 apk 파일을 압축해제 한 화면입니다.



Classes.dex 파일이 있으며 이 파일이 실제 어플리케이션의 내용이 담겨있는 파일입니다.

* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

다음은 .dex파일로 부터 .java 파일로 복구가 잘 되었는지 확인을 하는 과정입니다.



※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

스마트폰 악성코드 위협 고찰

스마트폰 2010. 3. 22. 21:04 Posted by 알 수 없는 사용자

스마트폰 악성코드 위협 고찰
(iPod Touch(iPhone)의 좀비 프로세스 - IRC 기반 iPod Bot)


 

1.개요

iPhone OS에서 멀티 태스킹이 불가능하다고 알려져있습니다. 그러나 연구분석한 결과, 좀비프로세스 생성이 가능하였으며, 이를 이용하여 IRC기반의 Bot 프로그램을 실행 시킬 수 있습니다. 이를 통한 스마트폰 악성 코드의 위협 예상 시나리오 위협을 고찰해 보았습니다.

※ 다음은 실제 동일한 펌웨어(버전 3.1.3)를 사용하여는 iPod Touch를 통해 테스트한 화면입니다.



UI등을 사용하지 않는 bot 프로그램은 이후 실행되는 다른 프로그램에 영향을 주지 않으며, 좀비화된 프로세스는 스스로 종료하거나 단말기를 강제 리붓(Reboot)하기 전까지 종료되지 않습니다.




2. 예상 위협 시나리오

- 사용자 모르게 실행된 bot에 의하여 iPhone의 주소록, 사진, sms, 음성, 위치(GPS)정보 등 중요한 내부(개인) 정보의 유출
- 감염된 다수의 iPhone을 이용한 DDOS공격 위협
- 내부 네트웍에 연결된 iPhone을 이용한 내부망 터널링&공격 등의 위협
등이 예상됩니다.


3. 상세내역
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

GPS 사진 정보(메타 데이터)를 이용한 보안위협 고찰

분석자 : r3dy (redjyjy@a3security.com)
편집자 : 니키 (ngnicky@a3sc.co.kr)

1.개요
스마트폰(대상 : 아이폰) 에서 찍은 사진에는 GPS 정보가 저장되어 있기 때문에, 이미지안에 삽입되어 있는 메타 데이터 정보를 이용한 개인정보 획득 가능성의 시나리오를 도출하고 보안 위협을 고찰하는데 목적이 있습니다.
※ 연구 분석 스마트폰은 "아이폰"을 이용하였습니다. 이하 "스마트폰"



2. 시나리오
스마트폰 사용자가 자신의 집에서 찍은 사진을 웹 사이트에 올렸을 경우, 사진 안에는 GPS정보가 포함됩니다.
다른 사용자는 악의적인 목적으로 GPS정보를 검색하여 해당 사용자의 집 위치 및 기타 정보를 획득 할 수 있습니다.


3. 실제사례
http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342_2.html
2006년 워싱턴 포스트지가 한 컴퓨터 해커와 인터뷰한 기사를 보도한 적이 있었습니다.
이 해커는 이름이나 거주지를 공개하지 않는다는 조건하에 인터뷰에 응했습니다.
이 기사에는 얼굴을 알아보지 못하도록 아주 작게 해커의 사진이 실렸는데, 이 사진은 메타데이터가 남아있는 사진이었습니다.
메타데이터를 통해 미국의 어느주인지, 어느 시 인지, 촬영된 장소 및 인터뷰한 해커의 신원이 밝혀지는 결과를 가져왔습니다.

메타데이터의 이러한 기능은 예전부터 알려져왔던 것 입니다. 요즘 아이폰이 이슈로 부상하면서 메타데이터의 기능이 아이폰과 결합되어 아이폰 해킹 시나리오로 이어질 수 있습니다. 아이폰을 사용할 때 기본적으로 GPS기능이 활성화되어 있으므로 항상 이 점을 염두해두셔야 할 것 같습니다.


4. 상세내역
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.


5. 참고사이트

http://www.iphone.co.kr/bbs/board.php?bo_table=tb35&wr_id=31&page=
http://kin.naver.com/open100/detail.nhn?d1id=3&dirId=314&docId=330202&qb=Tmlrb24gRDFYIOqwmeydgCDqs6DquIntmJU=&enc=utf8&section=kin&rank=1&sort=0&spq=0&pid=fIsqhv331xossb%2BCMGCssv--203325&sid=S6AjN3gNoEsAAGtfLus
http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342_2.html


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.


[TIPS] Android Debug Bridge(ADB)

스마트폰 2010. 3. 18. 09:43 Posted by 알 수 없는 사용자
안드로이드 SDK의 "/toos/adb"은 여러가지 기능을 제공하는 툴입니다. 이를 통해 안드로이드 에뮬레이터를 관리할 수 있으며, "adb shell" 을 통해 root 권한으로 쉘 연결 되므로 시스템 탐색, 수정 등이 가능합니다.

그밖에도 많은 옵션이 있으며, 아래 참고사이트를 통해 더 많은 정보를 확인 할 수 있습니다.

참고사이트
http://d.android.com/guide/developing/tools/adb.html

[스마트폰] iPhone을 서버로 활용

스마트폰 2010. 3. 17. 22:35 Posted by 알 수 없는 사용자

요즘은 스마트폰을 휴대하고 다니며 지하철, 카페 등 언제 어디서나 인터넷을 하는 광경을 손쉽게 목격할 수 있습니다.
그만큼 스마트 폰은 개인화 되어있으며 이동성과 사용성이 매우 높은 기기 입니다.

이런 스마트폰을 서버로 만들어 사용할 수 있습니다. 이를 가능하게 하는 어플리케이션으로 iPhone 어플리케이션인 ServerMan이라는 어플리케이션이 있습니다.

ServerMan은 간단한 조작으로 iPhone을 서버화 시킬 수 있습니다. 
이를 이용하여 iPhone을 네트워크 스토리지로써 이용하는 것이 가능하며, 소규모 그룹의 파일서버나 개인의 USB메모리 대신으로 웹브라우저나 클라이언트에서 파일을 전송할 수 있어 편리하게 이용할 수 있습니다.

다음은 ServerMon을 iPhone에서 실행한 화면입니다.

 


자세한 내용이 있는 URL 주소입니다.
http://www.utrend.org/392 
http://internet.watch.impress.co.jp/cda/news/2009/03/11/22753.html


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

[프롤로그] 스마트폰 보안위협

스마트폰 2010. 3. 15. 16:38 Posted by TEAMCR@K

2009년 4분기부터 iPhone이 국내에 유통이 되고 있으며, 이를 통해 국내 스마트폰 신흥 시장은 지속적으로 발전되고 있습니다.
세계적으로도 향후 5년간(현재 2010년) 스마트폰 매출이 주요 시장으로 자리 잡을것이고 꾸준히 성장 될 것으로 예측되고 있습니다. 사용자가 증가함으로써 스마트폰 보안 위협도 지속적인 관심을 받고 있습니다.

TeamCR@K에서도 iPhone, Android 등 스마트폰에 대한 위협 및 취약점을 꾸준히 연구 검토하고 있으며, 이에 관련된 공격 시나리오 및 공격 기법을 블로그에 포스팅 하도록 하겠습니다.

스마트폰 카탈로그에 정기적으로 글이 작성될 예정입니다. 많은 관심 부탁드립니다.

QRCode를 이용한 iPhone XSS & Replay Attack Scenario

스마트폰 2010. 3. 9. 15:37 Posted by 알 수 없는 사용자

By Aram Lee (A.K.A InPure)
aramlee@a3security.com

I. 본론

iPhone에서는 기본적으로 Safari의 세션 정보를 일정 시간 이상 유지를 하도록 하고 있습니다. 이러한 점을 이용하여 지난 QRCode를 이용한 iPhone Phishing Scenario(http://teamcrak.tistory.com/234)에 이어 XSS/Replay Attack Scenario를 작성하였습니다.
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

가. 도식도
본 시나리오의 도식도는 다음과 같습니다.
 

[그림 1] XSS, Replay Attack 도식도

나. 시나리오
A는 XSS 취약점이 존재하는 특정 게시판을 자주 이용하는 사용자입니다.

공격 당일에도 사용자는 해당 사이트에 로그인을 하여 업무를 본 후에, 웹 브라우저(Safari)를 종료하였습니다.

인터넷 서핑 도중 다음과 같은 호기심을 유발하는 글을 발견하였습니다.
 

[그림 2] 문제 QRCode


정답이 궁금해진 A는 iPhone에 내장되어 있는 QRCode 인식 앱으로 답을 알아내기로 합니다.


QRCode를 인식하는 화면입니다.
 


                                                                 [그림 3] 악성 QRCode 인식


QRCode를 인식하여 해당 URL로 Redirect된 화면입니다. 화면상에는 그림 파일이 하나 있지만, 공격자 서버에 쿠키 정보가 수집되었습니다.
 

                                                                 [그림 4] 악성 서버베 쿠키 정보 전달

공격자 서버에서 쿠키 정보가 수집된 화면입니다.
 

[그림 5] 쿠키 정보 수집


다음은 공격자가 사이트에 접속하여 쿠키 정보를 수정하여 권한 획득에 성공한 화면입니다.
 

[그림 6] 수집된 쿠키 정보로 수정

 

[그림 7] Replay Attack


II. 대응방안
1) 먼저 개발자는 BarCode/QRCode 인식 후 BarCode/QRCode에 포함되어 있는 URL 주소로 바로 Redirect하면 안됩니다. BarCode/QRCode에 포함된 URL을 사용자에게 보여주어 사용자의 확인을 받아 해당 URL로 연결하는 방식으로 개발해야 합니다.


2) 입력값에 XSS나 SQL Injection 등에 이용되는 스크립트가 포함되어 있으면 차단하는 기능을 추가해야 합니다.

3) 사용자는 수상한 BarCode/QRCode인지 확인하고, 어플로 BarCode/QRCode 인식 후 URL이 안전한 URL인지 확인해야 합니다. 그리고 신뢰할 수 없는 URL에 자신의 정보를 남기지 않도록 해야 합니다.


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

[문서] iPhone Privacy & Forensic

스마트폰 2010. 2. 20. 10:32 Posted by TEAMCR@K

스마트폰에서 위협할 수 있는 개인정보 노출 시나리오에 관한 자료입니다.
대부분 악성코드에 의한 원인들을 많이 다루고 있네요.

http://seriot.ch/resources/talks_papers/iPhonePrivacy.pdf

iPhone Forensic에 관한 문서로써, 관련 로그 분석할시 사용되는 도구에 대해서도 자세히 나와있으며 학습하시는데 도움이 많이 될거라 판단됩니다.
http://viaforensics.com/wpinstall/wp-content/uploads/2009/03/iPhone-Forensics-2009.pdf


QRCode를 이용한 iPhone 피싱 시나리오 및 위험성

스마트폰 2010. 2. 9. 13:57 Posted by 알 수 없는 사용자

By Aram Lee (A.K.A InPure)
aramlee@a3security.com

I. 서론
2009년 12월부터 판매된 iPhone에 대한 관심이 뜨거워지면서 보안 위협에 대한 우려도 커지고 있습니다. iPhone을 대상으로 한 공격에 대한 고민을 하던 도중 BarCode에 XSS, SQL Injection 공격 스크립트를 심는 기법을 소개한 글을 보았습니다. (http://www.irongeek.com/xss-sql-injection-fuzzing-barcode-generator.php)

미국에서 널리 쓰이는 iPhone 어플 중에 증강현실의 일종으로 BarCode를 인식하여 인터넷 쇼핑몰에서 최저가를 검색한 결과를 보여주는 어플이 있습니다. 이를 이용하여  BarCode(QRCode)+Mobile+Phishing의 조합으로 이루어진 새로운 형태의 피싱 시나리오를 작성하게 되었습니다.

휴대폰으로 BarCode/QRCode를 인식하는 기능은 예전부터 지원하는 기능이었습니다. 하지만, 스마트폰의 확산으로 BarCode/QRCode를 보다 널리 사용하게 될 것으로 예상됩니다.


본 시나리오는 iPhone에만 국한되지 않고 바코드를 인식하는 어플이 있는 모든 스마트폰이 대상입니다.

[증강현실]
가상현실 기술 중 하나로 현실세계에서 필요한 정보를 가상으로 보완해주는 기술입니다. 대표적인 증강현실의 예로는 주변의 지하철 역을 검색하는 어플이나 주변 커피집을 검색하는 어플 등이 있습니다.

[BarCode]
굵기가 서로 다른 검은 막대와 흰 막대가 섞인 채 배열되어 있는 2차원 구조의 기호로, 제품마다 영문자나 숫자로 표시된 코드를 각각 매기고 간편하게 입력하기위하여 개발되었습니다. 자세한 설명은 http://www.science.go.kr/center/kor/html/cyber/theme/livingscienec/theme1_5409.html 를 참고하시기 바랍니다.

[QRCode]
QR은 Quick Resonse의 약자이고 빠른 디코딩이 가능하고 바코드에 비해 대용량, 고밀도, 오류정정기능 등이 있는 2차원 구조의 기호입니다. 자세한 설명은 http://www.scany.net/kr/generator/barcodeQrcode.php 를 참고하시기 바랍니다.

II. 본론
본 시나리오의 도식도는 다음과 같습니다.


공격자는 피싱사이트의 URL 정보가 포함된 바코드를 이벤트 페이지로 가장하여 다음의 이벤트 홍보문을 배포합니다.



사용자는 이벤트에 참가하고 싶어 이벤트 홍보문에 있는 QRCode를 인식하여 이벤트 페이지에 접속합니다.






응모가 완료되었다는 메시지를 보고 사용자는 이벤트에 응모가 되었다고 생각할 것입니다. 그러나 실제로는 피싱사이트에 개인정보가 수집되고 있습니다.



III. 결론

보이스 피싱, 메신저 피싱 등 새로운 형태의 피싱이 계속 나오고 있는 추세로 볼 때 스마트폰의 확산으로 모바일이 피싱의 새로운 형태가 될 가능성이 높습니다.

일반적으로 모바일 페이지는 웹보다 간단하게 구성되어 있어 피싱사이트를 구축하기가 용이한 특성도 모바일 피싱 확산의 요인이 될 것입니다.

피싱 공격뿐만 아니라, 악성코드 (트로얀, 웜/바이러스, DDoS Bot 등) 배포 등의 공격 가능성도 존재합니다.


IV. 대응방안

1) 먼저 개발자는 BarCode/QRCode 인식 후 BarCode/QRCode에 포함되어 있는 URL 주소로 바로 Redirect하면 안됩니다. BarCode/QRCode에 포함된 URL을 사용자에게 보여주어 사용자의 확인을 받아 해당 URL로 연결하는 방식으로 개발해야 합니다. 

2) 입력값에 XSS나 SQL Injection 등에 이용되는 스크립트가 포함되어 있으면 차단하는 기능을 추가해야 합니다.

3) 사용자는 수상한 BarCode/QRCode인지 확인하고, 어플로 BarCode/QRCode 인식 후 URL이 안전한 URL인지 확인해야 합니다. 그리고 신뢰할 수 없는 URL에 자신의 정보를 남기지 않도록 해야 합니다.


[참고사이트]
http://www.irongeek.com/xss-sql-injection-fuzzing-barcode-generator.php
http://www.science.go.kr/center/kor/html/cyber/theme/livingscienec/theme1_5409.html
http://www.scany.net/kr/generator/barcodeQrcode.php
http://www.scany.net/kr/generator/ [바코드생성]


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.