모바일 보안 위협 및 대응 방안(19.5.13)

Mobile

• 모바일 컴퓨팅 
• 스마트폰

스마트폰이란 새로운 기기로의 해킹 수단화

스마트폰의 도청위험

 

기존단말의 Closed 개발형식에서 스마트폰의 Open Source로의 개발로 이동

앱 개발의 주체가 개발자로 이동, 개인정보의 집중화, 다양한 공격 발생 가능

 

안드로이드 악성코드 증가 원인

 

- 높은 시장 점유율

- 악성코드 제작 및 유표의 용이성(매우쉬움,안드로이드의 개방성)

- 오픈 소스 운영체제

- 서드파티 앱스토어(T스토어,U+스토어,Olleh마켓,아마존앱스토어,SlideMe)

- APK확장자의 쉬운 설치

 

주요 스마트폰 보안 위협

 

윈도우 15% 기타4%를 제외한 81%가 모바일디바이스의 안드로이드가 차지함

JUDY MALWARE: 36 MILLION ANDROID SMARTPHONES COULD BE INFECTED

스마트폰 해킹 -> 드론해킹(안드로이드앱)

 

0-day = 알려지지 않는 취약점

1-day = 알려진 취약점

 

Fake Base Station(가짜 통신망)을 이용한 LTE 도청

- 가짜기지국으로 접속받아 LTE정보를 해킹하여서 HTTPS -> HTTP 접속으로 유도후 정보 흭득

LTE Redirection을 이용한 전화 Redirection

 

Stage flight

-안드로이드 필수 멀티미디어 라이브러리 공격하여 사용자의 조작 없이 사용자

 

Stage flight v1

- 시연영상) 공격자가 가짜 MMS를 피해자 안드로이드 시스템에 보내고 Shell을 땀

Shell따고 Priviliege Esclation으로 권한을 상승함,화면에 아무변화가 없어서 사용자가 인지 할수없음

 

Stage flight v2

- 시연영상) 악의적인 웹사이트를 만들고 서버 ON, 피해자 스마트폰에서 해당 웹사이트에 접속 

mp4(악성)다운, Session 접속

 

 

APT(Advanced Persistent Thread, 지능적 지속 위협)

- 특정 공격 대상(스피어 피싱)

- 감염기기, 네트워크, 사용자 활동 정보 수집

- 모듈화된 악성코드

- 부가기능 업데이트

- 안드로이드에서는 주로 Spyware 활용

 

정부 지원형 악성코드(Government=sponsored malware)

- 일반 악성코드에 비해 기술적으로 매우 고수준

- 기반시설 해킹

 - stuxnet : 이란 원심분리기 1000여 기 파괴

 

기업형 악성코드

- 악성코드 및 해킹 도구를 전문으로 판매하는 회사로 부터 제품을 구매해서 활용하는 형태의 악성코드

 - 취약점을 구매해서 파는것도 하나라고 볼수있음

 - Angler Exploit Kit 일반 사용자들도 쓸수있게 프레임워크를 지원해주는 공격산업에 가장 효과적인 공격 도구

 

교수 曰 "보안하려는 인간들중에 보안하려는 인간들보다는 해킹(나쁜)하려는 인간들이 더많다"

Full Chain = 최고권한까지 가는 해킹

집에서 능력이 좋아서 Full chain 만들면 10억정도 번다고 함

 

스미싱

 

SMS를 이용해서 악성 앱 설치를 유도, 경찰청, 택배, 우체국등 사칭해서 App 설치 유도

,메시지를 보내는 스마트폰도 감염자의 스마트폰(해킹당한 스마트폰에서 해당 스마트폰번호로 주변연락처로 같은 문자발생)

이놈들은 돈 다 안빼가고 20~30만원씩 빼가서 애매하게해서 신고안하게끔 유도

 

Spyware

 

- 대인 감시를 위한 악성코드

- 정부 및 민간 인사 감시

- 조직 구성원 감시

- 흥신소

- 보이스피싱

 

RCSAndroid(이탈리아 Hacking team 악성코드)

- 표적 감시를 위한 도구로써 정비 기관을 대상으로 주로 판매

- 근데 얘네들은 지들이 해킹을 당함 ㅋㅋㅋ

- 망했다가 최근에 부활했다고 함ㅋㅋ

• 화면캡처
• 클립보드 감시
• Skype, Facebook,.......... 온라인 계정 수집
• SMS, MMS 및 Gmail 감시
• 기기 정보 수집
• 마이크를 이용한 녹음
• 전방 및 후방 카메라 이용한 사진 캡쳐

 

Skygofree

- HackingTeam RCSAndroid 유출 코드 활용해서 업그레이드

- 설치이후 아이콘 사라짐

Lipizzan Spyware

- 자기가 분석되고있으면 스파이행위짓 안함

 

Facebook 버그 바운티

페이스북는 자사 버그를 제보해주면 사례비를 줌

Image_ids[0]필드의 값을 추측하여 변경했을때, 다른유저의 사진,파일,비디오,오디오 메시지를 볼 수 있음

Burpsuite - http에서 패킷 감시하는프로그램

 

취약점은 해가 갈수록 늘어나는 추세

 

FakeKakao - Horrible Android Torjan dixcovered in South Korea

- 각종 분석 방해 기수 사용 (Anti-debugging, Anti-emulator, 커스텀 문자열 암호화)

- 분석도구 프로세스가 실행 중인지 검사후 회피

- 에뮬레이터 IP주소 캐치후 분석 방해( IP 뿐만아니라 , 에뮬레이터 특정 앱 탐지 )

 

Pegasus 

- 만수르가 인권운동도중에 문자를 받았는데 인권운동관련하여 어떤 앱을 다운받으라고 왔는데 의심되어서 보안회사에 맡기니(돈이 많으니 그냥 업체에 맡기네 ㄷㄷ) 악성파일이였음

 

Bank Trojan(social engineering, 사회공학적 기법)

insta,faceb,melon등 생각해보면 ui가 그러한것인지 진짜 그것이 해당 앱인지 알수있는 방법이 없음

전화같은것도 whowho,t전화 등 ui를 속일수도 있음

(이런것들을 task hijacking 이라고한다)

 

.

.

.

BrainTest의 Google bounce우회

- IP주소검증( 구글 바운서 IP 에서 실행시 작동안하게함)

- Domain 문자열 검증( Host이름에서 google,android,1e100검사)

- TimeBomb(8시간뒤 악성코드 수신)

- 난독화 적용

 

 

Androis OS Terms

안드로이드 OS(Operation System)은 based On Linux 

 

숫자 = API 레벨

안드로이드OS는 c와 c++로 이루어진 linux와 대부분의 앱들은 Java로 개발되었다.

 

01.Android Basic3.pdf

0.77MB

01.Android Basic2.pdf

0.93MB

01.Android Basic1.pdf

1.76MB

 

- Sandboxing(A라는것이 B를 침입할수있음)

- 악성앱이 특정폴더에 접근할수있는것은 SE Linux(4.3)이 막지만 정상적인권한을 흭득한다면 악의적판단이라 생각X

- 앱들은 커뮤니케이션을 하는데 예를들어

• Intent(통신의매개체)
• Content Provider(데이터베이스)
• Broadcast(일종의 이벤트라고보면됨)
• Prending intent
• Service(background를 돌면서... window services랑 비슷하지 않을까 싶음)

Door

 

- 접근권한이라고 생각 ?

Intent Filter는 Door의 역할을해줌 

 

App Elements

 

Activities(상호작용스크린)

Broadcast Receivers(이벤트)

.

.

.

 

UI 쓰레드는 절대적으로 힘든일을 하면안됨

(이것을 피하기위해서 기본적으로 멀티스레드에 익숙해야됨)

Thread가 모여있는것이 프로세스임, 자원은 프로세스에 할당됨

(UI 쓰레드 with One thread)

 

Application Manifest는 권한설정등 높은설정들을 설정하는파일

 

Coding Conventions는 '이런식으로 짜라' 라는 그런 패턴들( OOP : 객체지향프로그래밍 )

 

String Resouces - 개발자가 여러국가에서 쓸수있게 되어있게 되어있다?라는것