얼마 전 TeamCR@K 팀원 스마트폰으로 한 통의 문자 메시지가 왔습니다.

누가 봐도 문자 메시지 피싱(SMS phsing, 스미싱) 공격이라는 것을 알 수 있는 쿠폰 문자 메시지가 한 통 도착 하였습니다.

          

[그림1] 스미싱 공격 문자메시지 수신

 

URL을 접속하면 해당 apk 파일을 다운로드 하게 됩니다.

 

해당 apk 파일을 APKinspector를 이용하여 어떤 동작을 하는지 살펴보도록 하겠습니다.

APKinspector는 python으로 작성된 The Honeynet Project중 하나인 GUI 툴입니다.

APKinspector Download: https://github.com/honeynet/apkinspector/

우선 설치를 위해서 Ubuntu 11.10 버전을 설치합니다.

[그림2] 설치 시 버전 요구

 

Ubuntu 11.10에서 APKinspector를 다운로드 후 install.sh로 필요한 python 패키지를 설치합니다.

[그림3] 패키지 설치

 

APKinspector 실행 시 다음과 같은 에러메시지를 볼 수 있습니다.

$ python startQT.py

Traceback (most recent call last):

File "startQT.py", line 18, in <module>

from GetMethods import *

File "/home/dev/Desktop/apkinspector/GetMethods.py", line 20, in <module>

import androguard, analysis, androlyze

File "/home/dev/Desktop/apkinspector/androguard/androlyze.py", line 35, in <module>

import IPython.ipapi

ImportError: No module named ipapi

 

iPython 패키지가 업데이트 되면서 모듈위치가 바뀌어서 위와 같은 에러메시지가 나오게 됩니다.

버전에 맞도록 아래 사이트에서 iPython 모듈을 다운로드 후 설치합니다.

iPython Download: http://archive.ipython.org/release/0.10.2/

 

설치가 완료되었다면 python startQT.py 를 실행하여 APKinspector를 실행합니다.

[그림4] 악성 어플리케이션 오픈

 

[그림5] 디바이스 권한 확인

프로그램 실행 시 해당 어플리케이션이 문자메시지 권한을 요청하는 경고 창을 볼 수 있습니다.

통화핸들링 접근이나 혹은 녹음기능 권한을 요청하는 어플리케이션을 불러올 시 같은 경고 창을 볼 수 있습니다.


[그림6] Proguard 난독화 적용 확인

Proguard 적용으로 난독화 되어있는 것을 확인할 수 있습니다.

원하는 메소드를 더블클릭 하게 되면 그래픽컬한 화면을 볼 수 있습니다.


[그림7] CFG 확인

Dalvik byte code단위로 흐름도를 한눈에 볼 수 있습니다.

해당 코드를 선택 후 Space bar를 누르면 Dalvik byte code로 이동하게 됩니다.


[그림8] Dalvik byte code 확인

반대로 오른쪽 마우스버튼으로 goto CFG 메뉴로 흐름도를 볼 수 있습니다.


[그림8] Permission 확인

주요 권한을 요청 시 어느 Method에서 호출하는지 확인 할 수 있습니다.


[그림9] 어플리케이션 설치 시 권한 확인

어플리케이션 설치 시 요청하는 권한들을 살펴보면 다음과 같습니다.

주요 요청 권한을 살펴보면 스마트폰 시작 시 백그라운드 서비스로 동작되며 문자 메시지 전송, 확인 등 해당 어플리케이션에서 사용하는 권한들은 아래 사이트에서 살펴 볼 수 있습니다.

권한확인: http://developer.android.com/reference/android/Manifest.permission.html

 

어플리케이션의 동작을 smali 코드 단위로 살펴보면 유포자의 서버를 확인 할 수 있습니다.

[그림10] smali code 확인

 

전송되는 서버 주소를 확인 할 수 있습니다.

[그림11] 서버주소 확인


현재 해당 서버가 운영 중에 있음을 확인하였습니다.

[그림12] 서버주소 decoding

 

토르 브라우저를 이용하여 해당 서버를 접속하였습니다.

[그림13] 공격자 서버 접속

 

이상 APKinspector 를 이용하여 APK 동작부분을 간단히 살펴 보았습니다.

APKinspector를 이용하여 악성 어플리케이션으로 의심되는 어플리케이션의 동작을 간단하게 살펴 볼 수 있습니다.

 

스마트폰 악성코드 위협 고찰

스마트폰 2010. 3. 22. 21:04 Posted by 알 수 없는 사용자

스마트폰 악성코드 위협 고찰
(iPod Touch(iPhone)의 좀비 프로세스 - IRC 기반 iPod Bot)


 

1.개요

iPhone OS에서 멀티 태스킹이 불가능하다고 알려져있습니다. 그러나 연구분석한 결과, 좀비프로세스 생성이 가능하였으며, 이를 이용하여 IRC기반의 Bot 프로그램을 실행 시킬 수 있습니다. 이를 통한 스마트폰 악성 코드의 위협 예상 시나리오 위협을 고찰해 보았습니다.

※ 다음은 실제 동일한 펌웨어(버전 3.1.3)를 사용하여는 iPod Touch를 통해 테스트한 화면입니다.



UI등을 사용하지 않는 bot 프로그램은 이후 실행되는 다른 프로그램에 영향을 주지 않으며, 좀비화된 프로세스는 스스로 종료하거나 단말기를 강제 리붓(Reboot)하기 전까지 종료되지 않습니다.




2. 예상 위협 시나리오

- 사용자 모르게 실행된 bot에 의하여 iPhone의 주소록, 사진, sms, 음성, 위치(GPS)정보 등 중요한 내부(개인) 정보의 유출
- 감염된 다수의 iPhone을 이용한 DDOS공격 위협
- 내부 네트웍에 연결된 iPhone을 이용한 내부망 터널링&공격 등의 위협
등이 예상됩니다.


3. 상세내역
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

GPS 사진 정보(메타 데이터)를 이용한 보안위협 고찰

분석자 : r3dy (redjyjy@a3security.com)
편집자 : 니키 (ngnicky@a3sc.co.kr)

1.개요
스마트폰(대상 : 아이폰) 에서 찍은 사진에는 GPS 정보가 저장되어 있기 때문에, 이미지안에 삽입되어 있는 메타 데이터 정보를 이용한 개인정보 획득 가능성의 시나리오를 도출하고 보안 위협을 고찰하는데 목적이 있습니다.
※ 연구 분석 스마트폰은 "아이폰"을 이용하였습니다. 이하 "스마트폰"



2. 시나리오
스마트폰 사용자가 자신의 집에서 찍은 사진을 웹 사이트에 올렸을 경우, 사진 안에는 GPS정보가 포함됩니다.
다른 사용자는 악의적인 목적으로 GPS정보를 검색하여 해당 사용자의 집 위치 및 기타 정보를 획득 할 수 있습니다.


3. 실제사례
http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342_2.html
2006년 워싱턴 포스트지가 한 컴퓨터 해커와 인터뷰한 기사를 보도한 적이 있었습니다.
이 해커는 이름이나 거주지를 공개하지 않는다는 조건하에 인터뷰에 응했습니다.
이 기사에는 얼굴을 알아보지 못하도록 아주 작게 해커의 사진이 실렸는데, 이 사진은 메타데이터가 남아있는 사진이었습니다.
메타데이터를 통해 미국의 어느주인지, 어느 시 인지, 촬영된 장소 및 인터뷰한 해커의 신원이 밝혀지는 결과를 가져왔습니다.

메타데이터의 이러한 기능은 예전부터 알려져왔던 것 입니다. 요즘 아이폰이 이슈로 부상하면서 메타데이터의 기능이 아이폰과 결합되어 아이폰 해킹 시나리오로 이어질 수 있습니다. 아이폰을 사용할 때 기본적으로 GPS기능이 활성화되어 있으므로 항상 이 점을 염두해두셔야 할 것 같습니다.


4. 상세내역
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.


5. 참고사이트

http://www.iphone.co.kr/bbs/board.php?bo_table=tb35&wr_id=31&page=
http://kin.naver.com/open100/detail.nhn?d1id=3&dirId=314&docId=330202&qb=Tmlrb24gRDFYIOqwmeydgCDqs6DquIntmJU=&enc=utf8&section=kin&rank=1&sort=0&spq=0&pid=fIsqhv331xossb%2BCMGCssv--203325&sid=S6AjN3gNoEsAAGtfLus
http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342_2.html


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.


[TIPS] Android Debug Bridge(ADB)

스마트폰 2010. 3. 18. 09:43 Posted by 알 수 없는 사용자
안드로이드 SDK의 "/toos/adb"은 여러가지 기능을 제공하는 툴입니다. 이를 통해 안드로이드 에뮬레이터를 관리할 수 있으며, "adb shell" 을 통해 root 권한으로 쉘 연결 되므로 시스템 탐색, 수정 등이 가능합니다.

그밖에도 많은 옵션이 있으며, 아래 참고사이트를 통해 더 많은 정보를 확인 할 수 있습니다.

참고사이트
http://d.android.com/guide/developing/tools/adb.html

[스마트폰] iPhone을 서버로 활용

스마트폰 2010. 3. 17. 22:35 Posted by 알 수 없는 사용자

요즘은 스마트폰을 휴대하고 다니며 지하철, 카페 등 언제 어디서나 인터넷을 하는 광경을 손쉽게 목격할 수 있습니다.
그만큼 스마트 폰은 개인화 되어있으며 이동성과 사용성이 매우 높은 기기 입니다.

이런 스마트폰을 서버로 만들어 사용할 수 있습니다. 이를 가능하게 하는 어플리케이션으로 iPhone 어플리케이션인 ServerMan이라는 어플리케이션이 있습니다.

ServerMan은 간단한 조작으로 iPhone을 서버화 시킬 수 있습니다. 
이를 이용하여 iPhone을 네트워크 스토리지로써 이용하는 것이 가능하며, 소규모 그룹의 파일서버나 개인의 USB메모리 대신으로 웹브라우저나 클라이언트에서 파일을 전송할 수 있어 편리하게 이용할 수 있습니다.

다음은 ServerMon을 iPhone에서 실행한 화면입니다.

 


자세한 내용이 있는 URL 주소입니다.
http://www.utrend.org/392 
http://internet.watch.impress.co.jp/cda/news/2009/03/11/22753.html


※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

[프롤로그] 스마트폰 보안위협

스마트폰 2010. 3. 15. 16:38 Posted by TEAMCR@K

2009년 4분기부터 iPhone이 국내에 유통이 되고 있으며, 이를 통해 국내 스마트폰 신흥 시장은 지속적으로 발전되고 있습니다.
세계적으로도 향후 5년간(현재 2010년) 스마트폰 매출이 주요 시장으로 자리 잡을것이고 꾸준히 성장 될 것으로 예측되고 있습니다. 사용자가 증가함으로써 스마트폰 보안 위협도 지속적인 관심을 받고 있습니다.

TeamCR@K에서도 iPhone, Android 등 스마트폰에 대한 위협 및 취약점을 꾸준히 연구 검토하고 있으며, 이에 관련된 공격 시나리오 및 공격 기법을 블로그에 포스팅 하도록 하겠습니다.

스마트폰 카탈로그에 정기적으로 글이 작성될 예정입니다. 많은 관심 부탁드립니다.

[문서] iPhone Privacy & Forensic

스마트폰 2010. 2. 20. 10:32 Posted by TEAMCR@K

스마트폰에서 위협할 수 있는 개인정보 노출 시나리오에 관한 자료입니다.
대부분 악성코드에 의한 원인들을 많이 다루고 있네요.

http://seriot.ch/resources/talks_papers/iPhonePrivacy.pdf

iPhone Forensic에 관한 문서로써, 관련 로그 분석할시 사용되는 도구에 대해서도 자세히 나와있으며 학습하시는데 도움이 많이 될거라 판단됩니다.
http://viaforensics.com/wpinstall/wp-content/uploads/2009/03/iPhone-Forensics-2009.pdf