2012-2014 스미싱 동향 및 분석 기법 안양부흥고등학교 3학년 김남준

김남준 (bunseokbot@N3rdist4n) 안양부흥고등학교 3학년 NTMA 스미싱몬팀 악성코드 분석가 & 개발자 N3rdist4n 최고령팀원 단축 URL 서비스 eaf.kr Administrator E-Mail : admin@smishing.kr Blog : blog.smishing.kr

Contents

* 스미싱에 대한 간단한 이해 - 스미싱에 대한 일반적 오해 * 2012-2014 스미싱 동향 & 분석 기법 - 차단된 스미싱 링크에서 악성코드 샘플 수집하기 - AndroidManifest.xml 파일 속 특징들 분석하기 - 스미싱 악성코드 Rapid 분석하기 - 악성코드 제작자가 남긴 발자취 추적하기 - 본인이 발견한 스미싱 악성 사이트 직접 대응하기 * Q&A

Documentation codegate.smishing.kr

한국어, English

‘ 휴대폰 사용자가 웹 사이트에 접속하면 트로이목마 를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수

있게 만드는 공격 기법’

- 네이버 지식백과

SMISHING SPAM

SMISHING SPAM

2012-2014 스미싱 동향 및 스미싱 악성코드 분석 기법

차단된 스미싱 링크에서 샘플 수집하기

차단된 스미싱 링크에서 샘플 수집하기

차단된 스미싱 링크에서 샘플 수집하기

차단된 스미싱 링크에서 샘플 수집하기

스미싱 자동수집 시스템 or 분석가

공격자

차단된 스미싱 링크에서 샘플 수집하기

Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

차단된 스미싱 링크에서 샘플 수집하기

Mozilla/5.0 (Linux; U; Android 4.0.2; en-us; Galaxy Nexus Build/ICL53F) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

차단된 스미싱 링크에서 샘플 수집하기

<script type=“text/javascript”> var mobileDevice = new Array(‘Android’, ‘SAMSUNG’, ‘LG’, ‘MOT’, SonyEricsson’); for(var word in mobileDevice) { if(navigator.userAgent.match(mobileDevice[word]) != null) { location.replace(“../smishing.php”); break; } else { location.href = “http://17x.1xx.9x.2x8/smixhxnx.hxx”; break; } } </script>

차단된 스미싱 링크에서 샘플 수집하기

차단된 스미싱 링크에서 샘플 수집하기

AndroidManifest.xml 파일 내 특징 분석하기 malware.apk

META-INF

res, lib, asset

resources.arsc

classes.dex

AndroidManifest.xml

AndroidManifest.xml 파일 내 특징 분석하기

난독화된 AndroidManifest.xml 파일

AndroidManifest.xml 파일 내 특징 분석하기

https://code.google.com/p/android-apktool

apktool

난독화된 파일 난독화 제거 파일

AndroidManifest.xml 파일 내 특징 분석하기

protected.apk

deobfuscate

Strings v2.51

AndroidManifest.xml 파일 내 특징 분석하기

Permissions

문자메시지 수신 감지 현재 휴대폰 상태 감지 단말기 부팅 완료 감지

애플리케이션 설치, 삭제 감지 기기 관리자 권한 활성화

저장소 접근 문자메시지 수, 발신 주소록 읽기, 쓰기 부팅 시 자동 실행 휴대폰 상태 변경

전화 걸기 프로세스 종료 인터넷 연결

intent-filters

스미싱 악성코드 Rapid 분석하기 Static Analysis

malware.apk

META-INF

res, lib, asset

resources.arsc

classes.dex

AndroidManifest.xml

스미싱 악성코드 Rapid 분석하기 Static Analysis

malware.apk

META-INF, res, lib, asset

apkprotect.com

resources.arsc

classes.dex

AndroidManifest.xml

http://kkoha.tistory.com/entry/AntiAPKProtect

Anti Apkprotect v0.1 by koha

스미싱 악성코드 Rapid 분석하기 Static Analysis Tip

모든 애플리케이션의 중심은 MainActivity 이다.

+ AndroidManifest.xml Activity Info

스미싱 악성코드 Rapid 분석하기 Static Analysis Tip

분석하기엔 코드가 너무 길고 방대하다

스미싱 악성코드 Rapid 분석하기 Static Analysis Tip

jar 파일로 아무리 해도 변환이 안된다. 그러나 우리에겐 IDA Pro는 너무 비싸다

스미싱 악성코드 실제로 분석하기

최초 발견일 : 2014년 3월 20일 감염자수 : 확인 불가 주요 행위 : 악성 파일 추가 설치, 문자메시지 감시, 주소록 전송

apkprotect.com

unknown protector apkprotect.com

unknown protector

단순 APP INSTALLER Real Malware

스미싱 악성코드 실제로 분석하기 Downloader

apkprotect.com

unknown protector

OK to Analysis

스미싱 악성코드 실제로 분석하기 Code Recovery Tip

Static fields - #0 : (in Lcom/android/slientinstall/InstallService;) name : 'PACKAGE_NAME' type : 'Ljava/lang/String;' access : 0x001a (PRIVATE STATIC FINAL)

private static final String PACKAGE_NAME;

name type access

스미싱 악성코드 실제로 분석하기 AndroidManifest.xml

Permissions

휴대폰 상태 읽기 인터넷 연결

문자메시지 감시 문자메시지 내역 읽고 쓰기

외부 저장소 쓰기 부팅 시 자동 실행 기기 관리자 권한 CPU 상태 유지

스미싱 악성코드 실제로 분석하기

Permissions

휴대폰 상태 읽기 인터넷 연결

문자메시지 감시 문자메시지 내역 읽고 쓰기

외부 저장소 쓰기 부팅 시 자동 실행 기기 관리자 권한

Code Analysis

SlientInstall SmsReceiver

SQLiteOpenHelper BootReceiver

SSLSocketFactory DeviceAdminReceiver

WakeLock

스미싱 악성코드 Rapid 분석하기 Dynamic Analysis

Real Device Android Virtual Device

장점 – 가상기기 감지로 인한 악성행위 종료의 위험 없음 단점 - 비싼 가격, USB Debugging 모드로 연결해야 함

장점 – 무료, 네트워크 Packet 덤프나 로그 추출이 용이함 단점 – 가상기기 감지로 인한 악성행위 종료의 위험 있음

스미싱 악성코드 Rapid 분석하기 Dynamic Analysis

data 영역 분석

ADB 사용

스미싱 악성코드 Rapid 분석하기 Dynamic Analysis

tPacketCapture (taosoftware co.ltd) 네트워크 패킷 캡쳐용

alogcat (Jeffrey Blattman) 로그 추출용

스미싱 악성코드 Rapid 분석하기 Dynamic Analysis

Android Debug Bridge

Android Device Monitor

스미싱 악성코드 Rapid 분석하기 Dynamic Analysis Tip

악성코드 제작자가 남긴 발자취 추적하기

휴대폰 전화번호

스미싱 유포지

개인정보 수집처

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

최초 발견일 : 2014년 2월 20일 감염자수 : 확인 불가 주요 행위 : 문자메시지 감시, 통화내용 도청, 공인인증서 유출, 보이스피싱

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

악성코드 제작자가 남긴 발자취 추적하기

스미싱 악성코드 대응법

spam.kisa.or.kr (KISA 불법스팸대응센터) krcert.or.kr (KISA 인터넷침해대응센터)

스미싱 악성코드 대응법

스미싱 악성코드 대응법

서버 속 데이터는 소중한 증거물입니다

서버가 차단된 경우 유용하게 사용할 수 있습니다

더 이상 피해가 늘어나지 않도록 하는 가장 빠른 방법입니다

Question & Answer

감사합니다! 제 발표는 여기서 마치도록 하겠습니다

Special Thanks to Yangs, jen6 contact : admin@smishing.kr blog : blog.smishing.kr