Android Malicious Application Filtering System 세인트시큐리티 김창수 | [email protected] www.CodeEngn.com 2013 CodeEngn Conference 08
[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템
Apr 22, 2015
2013 CodeEngn Conference 08
안드로이드 악성앱 필터링을 위한 시스템을 주로 다루려고 하고, 특히 요새 큰 관심이 쏠리는 스미싱 앱을 위주로 내용을 진행하면서 안드로이드 어플리케이션의 정적분석 및 동적분석 방법 그리고 해당 분석으로 얻을 수 있는 내용들이 어떤 것이 있는지를 예시를 통해 알아본다.
http://codeengn.com/conference/08
안드로이드 악성앱 필터링을 위한 시스템을 주로 다루려고 하고, 특히 요새 큰 관심이 쏠리는 스미싱 앱을 위주로 내용을 진행하면서 안드로이드 어플리케이션의 정적분석 및 동적분석 방법 그리고 해당 분석으로 얻을 수 있는 내용들이 어떤 것이 있는지를 예시를 통해 알아본다.
http://codeengn.com/conference/08
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
![Page 1: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/1.jpg)
Android Malicious ApplicationFiltering System
세인트시큐리티 김창수 | [email protected]
www.CodeEngn.com2013 CodeEngn Conference 08
![Page 2: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/2.jpg)
Contents
• Intro
• Android Malicious Application
• Malicious Application Analysis
• Automation System
![Page 3: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/3.jpg)
Intro
![Page 4: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/4.jpg)
01 Smartphone
![Page 5: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/5.jpg)
02 Android VS iOS
![Page 6: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/6.jpg)
03 Android Architecture
![Page 7: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/7.jpg)
Chapter 1
Android Malicious Application
![Page 8: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/8.jpg)
01 Malware Trend
![Page 9: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/9.jpg)
02 Infection Route
![Page 10: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/10.jpg)
02 Infection Route
• 블랙마켓– 크랙 된 어플리케이션으로 사용자를 유인– 해커는 자신의 코드를 어플리케이션에 숨기고 배포
• 인터넷 카페 및 블로그– 블랙마켓과 비슷한 수법
• SMS– 쿠폰 및 할인 등의 문자메시지로 특정 앱을 다운받도록 함
• 구글 마켓– 비교적 허술한 구글 마켓의 어플리케이션 등록 절차를 이용– 뒤늦게 삭제 조치되는 경우가 있으나, 그 전에는 피해가 발생
![Page 11: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/11.jpg)
03
• 개인정보 수집
• 금융정보 탈취
• 소액결제를 통한 이득
• 봇넷
• Just For Fun
Purpose
![Page 12: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/12.jpg)
04
• SMS를 통해 문자메시지를 가로채는 악성 어플리케이션을 다운로드 받게 한 후, 소액결제를통한 이득을 획득하는 방법
Smishing
![Page 13: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/13.jpg)
04 Smishing
1. URL 링크가 포함된 SMS 전송
2. URL 링크를 통해악성 앱 배포 서버에접근
3. 악성 앱 다운로드 및 설치
해커 타겟
배포 서버SMS 수집 서버
4. 타겟 기기의 전화번호로 소액결제 요청
5. 인증번호전송
6. 악성앱에 의해 인증번호가포함된 SMS가 서버에 전송됨
7. 인증번호확인8. 인증번호 입력
소액 결제 업체
![Page 14: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/14.jpg)
Chapter 2
Malicious Application Analysis
![Page 15: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/15.jpg)
01 Overview
![Page 16: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/16.jpg)
02
• 어플리케이션의 큰 틀을 알 수 있음
• 패키지의 이름, 권한 정보, 액티비티 및 서비스의 종류 등을 알아낼 수 있음
• Apktool을 이용하여 추출 가능
AndroidManifest.xml
![Page 17: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/17.jpg)
02 AndroidManifest.xml
![Page 18: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/18.jpg)
02 AndroidManifest.xml
![Page 19: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/19.jpg)
03
• APK 파일 내의 dex 파일을 java 소스코드로 변환
• undx와 dexdump, jd-gui 를 이용
• 상세한 분석이 필요할 때 효과적
Decompile
dex jar java
undxdexdump jd-gui
![Page 20: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/20.jpg)
04
• Android Debug Bridge
• 컴퓨터와 안드로이드 기기 간의 통신을 도움
ADB
ADB
![Page 21: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/21.jpg)
04
• shell : 안드로이드 기기의 shell에 연결한다.
• install : 안드로이드 기기에 어플리케이션을 설치한다.
• uninstall : 안드로이드 기기에 설치된 어플리케이션을 삭제한다.
• push : 안드로이드 기기로 파일을 옮긴다.
• pull : 안드로이드 기기에서 파일을 가져온다.
ADB
![Page 22: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/22.jpg)
05
• 단말에서 발생하는 로그를 보여줌
• 어플리케이션 개발 시에 디버깅 툴로 사용
• 로그의 우선 순위– Verbose < Debug < Info < Warning < Error < Fatal < Silent
Logcat
![Page 23: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/23.jpg)
05 Logcat
![Page 24: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/24.jpg)
05
• 어플리케이션 로그 이외에 시스템 이벤트를 확인 가능
• adb logcat –d events
Logcat
![Page 25: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/25.jpg)
06
• ADB를 이용해 shell로 접속하여 TCP Dump 사용 가능
TCP Dump
![Page 26: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/26.jpg)
07
• 내부의 바이너리를 이용하면 다른 조작없이 스크린샷을 찍을 수 있음
• /system/bin/screencap
Screenshot
![Page 27: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/27.jpg)
08
• 안드로이드 커널 소스를 수정하거나 커널 함수를 후킹하여 커널 메시지를 출력토록 함
• adb shell cat /proc/kmsg
Kprintf
![Page 28: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/28.jpg)
09
• 준비물 : Linux Machine, git-core, gnupg, sun-java6-jdk, flex, bison, gperf, libsdl-dev, libsd0-dev, libwxgtk2.6-dev, build-essential, zip, curl, libcurses5-dev, zlib1g-dev, x11proto-core-dev, libreadline6-dev, libgl1-mesa-dev, tofrodos, libxml2-utils, xsltproc
• 기본적인 안드로이드 커널 소스는 https://android.googlesource.com 에서 받을 수 있음
• 휴대폰 제조사별로 각 휴대폰에 쓰인 커널 소스를 공개– 삼성전자 : http://opensource.samsung.com/– LG 전자 : http://www.lg.com/global/support/opensource/index– HTC : http://htcdev.com/devcenter/downloads– 팬택 : http://opensource.pantech.com/model/list.asp?Category=Mobile – 모토로라 : http://sourceforge.net/motorola/
Kernel Modification
![Page 29: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/29.jpg)
09
• Linux Machine에 소스코드 다운로드– $ cd YOUR_DEV_DIRECTORY
$ git clone https://android.googlesource.com/kernel/goldfish$ cd goldfish$ git branch -a$ git checkout –t origin/android-goldfish-2.6.29 –b goldfish
• 툴체인 다운로드– $ cd YOUR_DEV_DIRECTORY
$ git clone https://android.googlesource.com/platform/prebuilts/gcc/linux-x86/arm/arm-eabi-4.6
Kernel Modification
![Page 30: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/30.jpg)
09
• 컴파일– $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- distclean
$ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- goldfish-defconfig$ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- zImage
• zImage는 arch/arm/boot/zImage에 생성됨
• emulator –avd <에뮬레이터 이름> -kernel <빌드한 zImage>
Kernel Modification
![Page 31: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/31.jpg)
10
• Kprobes : 커널 코드에 원하는 코드를 동적으로 추가할 수 있음
• 커널 설정시 CONFIG_KPORBES 옵션을 선택해야 함
• kprobe, jprobe, kretprobe가 포함됨
Kernel Hooking
![Page 32: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/32.jpg)
10
• includes/linux/kprobes.h
Kernel Hooking
![Page 33: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/33.jpg)
10
• kprobe_opcode_t *addr– 커널함수의 주소를 직접 입력하여 후킹 지점을 설정
• char *symbol_name– 커널함수의 이름을 등록하여 후킹 지점을 설정
• kprobe_pre_handler_t pre_handler– 후킹한 함수가 실행되기 전에 호출될 함수를 등록
• kprobe_post_handler_t post_handler– 후킹한 함수가 실행된 후에 호출될 함수를 등록
Kernel Hooking
![Page 34: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/34.jpg)
10 Kernel Hooking
![Page 35: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/35.jpg)
10
• Makefile에 소스 추가 후 컴파일
Kernel Hooking
![Page 36: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/36.jpg)
10
• Adb를 이용해 모듈을 기기로 복사한 후, insmod 명령을 이용해 커널 모듈을 설치
• adb shell cat /proc/kmsg 를 이용하면 printk로 출력되는 내용을 확인 가능
Kernel Hooking
![Page 37: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/37.jpg)
10
• jprobe– 함수에 전해지는 파라미터를 확인할 수 있음
Kernel Hooking
![Page 38: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/38.jpg)
10
• kretprobe– 함수의 반환값을 확인할 수 있음
Kernel Hooking
![Page 39: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/39.jpg)
Chapter 3
Automation System
![Page 40: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/40.jpg)
01
• 모든 악성 어플리케이션을 일일이 분석하기에는 많은 시간이 필요함
• 24시간 감시가 가능
Necessity
![Page 41: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/41.jpg)
02 System Component
정적분석
백신분석 행위분석
![Page 42: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/42.jpg)
03 Procedure
1. 수집채널을 통한 샘플 수집
2. 백신 검사
3. 권한 분석
4. API 추출
5. 행위 분석
![Page 43: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/43.jpg)
04 DEMO
![Page 44: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/44.jpg)
Q & A
![Page 45: [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템](https://reader030.cupdf.com/reader030/viewer/2022020207/553891354a7959437c8b47a3/html5/thumbnails/45.jpg)
Thank You !
www.CodeEngn.com2013 CodeEngn Conference 08
Related Documents
![[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안](https://static.cupdf.com/doc/110x72/55a2538b1a28abd1758b480d/2014-codeengn-conference-11--55a52a2e34f88.jpg)
![[2010 CodeEngn Conference 04] passket - Taint analysis for vulnerability discovery](https://static.cupdf.com/doc/110x72/54459500b1af9fdf068b45cd/2010-codeengn-conference-04-passket-taint-analysis-for-vulnerability-discovery.jpg)
![[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기](https://static.cupdf.com/doc/110x72/546b2777af795919088b5445/2014-codeengn-conference-10--5584ac5fee241.jpg)
![[2008 CodeEngn Conference 02] seaofglass - Immunity Debugger 활용과 플러그인 제작](https://static.cupdf.com/doc/110x72/544594f0b1af9f050a8b45bb/2008-codeengn-conference-02-seaofglass-immunity-debugger-.jpg)
![[2012 CodeEngn Conference 07] M-Stoned - iThreat](https://static.cupdf.com/doc/110x72/553891b34a79597c778b4797/2012-codeengn-conference-07-m-stoned-ithreat.jpg)
![[2013 CodeEngn Conference 09] 박인현 - 디지털포렌직 챌린지](https://static.cupdf.com/doc/110x72/5538908a550346bb318b47ef/2013-codeengn-conference-09-.jpg)
![[2014 CodeEngn Conference 10] 조제경 - 너도 나도 다같이 리버싱](https://static.cupdf.com/doc/110x72/546b2778af795902048b5523/2014-codeengn-conference-10--5584ac5fec824.jpg)
![[2013 CodeEngn Conference 08] CherishCat - 각종 취약점과 대응방안 & 해킹, 보안 문제풀이](https://static.cupdf.com/doc/110x72/553891a24a795979798b476a/2013-codeengn-conference-08-cherishcat-.jpg)
![[2007 CodeEngn Conference 01] dual5651 - Windows 커널단의 후킹](https://static.cupdf.com/doc/110x72/54459513b1af9fdb068b45c1/2007-codeengn-conference-01-dual5651-windows-.jpg)
![[2007 CodeEngn Conference 01] amesianx - Art of Hooking](https://static.cupdf.com/doc/110x72/553890cc550346bf308b47cf/2007-codeengn-conference-01-amesianx-art-of-hooking.jpg)
![[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN](https://static.cupdf.com/doc/110x72/55a254951a28abea378b45ab/2014-codeengn-conference-11-android-bootkit-analysis-en.jpg)
