codegate 2014 junior '2012-2014 스미싱 동향 및 분석 기법
Post on 25-Dec-2014
160 Views
Preview:
DESCRIPTION
TRANSCRIPT
2012-2014 스미싱 동향 및 분석 기법 안양부흥고등학교 3학년 김남준
김남준 (bunseokbot@N3rdist4n) 안양부흥고등학교 3학년 NTMA 스미싱몬팀 악성코드 분석가 & 개발자 N3rdist4n 최고령팀원 단축 URL 서비스 eaf.kr Administrator E-Mail : admin@smishing.kr Blog : blog.smishing.kr
Contents
* 스미싱에 대한 간단한 이해 - 스미싱에 대한 일반적 오해 * 2012-2014 스미싱 동향 & 분석 기법 - 차단된 스미싱 링크에서 악성코드 샘플 수집하기 - AndroidManifest.xml 파일 속 특징들 분석하기 - 스미싱 악성코드 Rapid 분석하기 - 악성코드 제작자가 남긴 발자취 추적하기 - 본인이 발견한 스미싱 악성 사이트 직접 대응하기 * Q&A
Documentation codegate.smishing.kr
한국어, English
‘ 휴대폰 사용자가 웹 사이트에 접속하면 트로이목마 를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수
있게 만드는 공격 기법’
- 네이버 지식백과
SMISHING SPAM
SMISHING SPAM
2012-2014 스미싱 동향 및 스미싱 악성코드 분석 기법
차단된 스미싱 링크에서 샘플 수집하기
차단된 스미싱 링크에서 샘플 수집하기
차단된 스미싱 링크에서 샘플 수집하기
차단된 스미싱 링크에서 샘플 수집하기
스미싱 자동수집 시스템 or 분석가
공격자
차단된 스미싱 링크에서 샘플 수집하기
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
차단된 스미싱 링크에서 샘플 수집하기
Mozilla/5.0 (Linux; U; Android 4.0.2; en-us; Galaxy Nexus Build/ICL53F) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
차단된 스미싱 링크에서 샘플 수집하기
<script type=“text/javascript”> var mobileDevice = new Array(‘Android’, ‘SAMSUNG’, ‘LG’, ‘MOT’, SonyEricsson’); for(var word in mobileDevice) { if(navigator.userAgent.match(mobileDevice[word]) != null) { location.replace(“../smishing.php”); break; } else { location.href = “http://17x.1xx.9x.2x8/smixhxnx.hxx”; break; } } </script>
차단된 스미싱 링크에서 샘플 수집하기
차단된 스미싱 링크에서 샘플 수집하기
AndroidManifest.xml 파일 내 특징 분석하기 malware.apk
META-INF
res, lib, asset
resources.arsc
classes.dex
AndroidManifest.xml
AndroidManifest.xml 파일 내 특징 분석하기
난독화된 AndroidManifest.xml 파일
AndroidManifest.xml 파일 내 특징 분석하기
https://code.google.com/p/android-apktool
apktool
난독화된 파일 난독화 제거 파일
AndroidManifest.xml 파일 내 특징 분석하기
protected.apk
deobfuscate
Strings v2.51
AndroidManifest.xml 파일 내 특징 분석하기
Permissions
문자메시지 수신 감지 현재 휴대폰 상태 감지 단말기 부팅 완료 감지
애플리케이션 설치, 삭제 감지 기기 관리자 권한 활성화
저장소 접근 문자메시지 수, 발신 주소록 읽기, 쓰기 부팅 시 자동 실행 휴대폰 상태 변경
전화 걸기 프로세스 종료 인터넷 연결
intent-filters
스미싱 악성코드 Rapid 분석하기 Static Analysis
malware.apk
META-INF
res, lib, asset
resources.arsc
classes.dex
AndroidManifest.xml
스미싱 악성코드 Rapid 분석하기 Static Analysis
malware.apk
META-INF, res, lib, asset
apkprotect.com
resources.arsc
classes.dex
AndroidManifest.xml
http://kkoha.tistory.com/entry/AntiAPKProtect
Anti Apkprotect v0.1 by koha
스미싱 악성코드 Rapid 분석하기 Static Analysis Tip
모든 애플리케이션의 중심은 MainActivity 이다.
+ AndroidManifest.xml Activity Info
스미싱 악성코드 Rapid 분석하기 Static Analysis Tip
분석하기엔 코드가 너무 길고 방대하다
스미싱 악성코드 Rapid 분석하기 Static Analysis Tip
jar 파일로 아무리 해도 변환이 안된다. 그러나 우리에겐 IDA Pro는 너무 비싸다
스미싱 악성코드 실제로 분석하기
최초 발견일 : 2014년 3월 20일 감염자수 : 확인 불가 주요 행위 : 악성 파일 추가 설치, 문자메시지 감시, 주소록 전송
apkprotect.com
unknown protector apkprotect.com
unknown protector
단순 APP INSTALLER Real Malware
스미싱 악성코드 실제로 분석하기 Downloader
apkprotect.com
unknown protector
OK to Analysis
스미싱 악성코드 실제로 분석하기 Code Recovery Tip
Static fields - #0 : (in Lcom/android/slientinstall/InstallService;) name : 'PACKAGE_NAME' type : 'Ljava/lang/String;' access : 0x001a (PRIVATE STATIC FINAL)
private static final String PACKAGE_NAME;
name type access
스미싱 악성코드 실제로 분석하기 AndroidManifest.xml
Permissions
휴대폰 상태 읽기 인터넷 연결
문자메시지 감시 문자메시지 내역 읽고 쓰기
외부 저장소 쓰기 부팅 시 자동 실행 기기 관리자 권한 CPU 상태 유지
스미싱 악성코드 실제로 분석하기
Permissions
휴대폰 상태 읽기 인터넷 연결
문자메시지 감시 문자메시지 내역 읽고 쓰기
외부 저장소 쓰기 부팅 시 자동 실행 기기 관리자 권한
Code Analysis
SlientInstall SmsReceiver
SQLiteOpenHelper BootReceiver
SSLSocketFactory DeviceAdminReceiver
WakeLock
스미싱 악성코드 Rapid 분석하기 Dynamic Analysis
Real Device Android Virtual Device
장점 – 가상기기 감지로 인한 악성행위 종료의 위험 없음 단점 - 비싼 가격, USB Debugging 모드로 연결해야 함
장점 – 무료, 네트워크 Packet 덤프나 로그 추출이 용이함 단점 – 가상기기 감지로 인한 악성행위 종료의 위험 있음
스미싱 악성코드 Rapid 분석하기 Dynamic Analysis
data 영역 분석
ADB 사용
스미싱 악성코드 Rapid 분석하기 Dynamic Analysis
tPacketCapture (taosoftware co.ltd) 네트워크 패킷 캡쳐용
alogcat (Jeffrey Blattman) 로그 추출용
스미싱 악성코드 Rapid 분석하기 Dynamic Analysis
Android Debug Bridge
Android Device Monitor
스미싱 악성코드 Rapid 분석하기 Dynamic Analysis Tip
악성코드 제작자가 남긴 발자취 추적하기
휴대폰 전화번호
스미싱 유포지
개인정보 수집처
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
최초 발견일 : 2014년 2월 20일 감염자수 : 확인 불가 주요 행위 : 문자메시지 감시, 통화내용 도청, 공인인증서 유출, 보이스피싱
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
악성코드 제작자가 남긴 발자취 추적하기
스미싱 악성코드 대응법
spam.kisa.or.kr (KISA 불법스팸대응센터) krcert.or.kr (KISA 인터넷침해대응센터)
스미싱 악성코드 대응법
스미싱 악성코드 대응법
서버 속 데이터는 소중한 증거물입니다
서버가 차단된 경우 유용하게 사용할 수 있습니다
더 이상 피해가 늘어나지 않도록 하는 가장 빠른 방법입니다
Question & Answer
감사합니다! 제 발표는 여기서 마치도록 하겠습니다
Special Thanks to Yangs, jen6 contact : admin@smishing.kr blog : blog.smishing.kr
top related