Android 썸네일형 리스트형 Exploring The Real Smishing World Exploring The Real Smishing WorldWritten by bunseokbot@N3rdist4n 스미싱 분석을 처음 하시는 분들이나, 궁금하신 분들이 볼 수 있도록 제 기준으로 쉽게 작성하였습니다.여러분들의 많은 피드백 부탁드립니다 ㅎㅎ피드백 - admin@smishing.kr 으로 피드백 주시면 감사하겠습니다 -피드백을 주신 분- 더보기 안드로이드 일부 단말기에서 4yougate.com 사이트로 연결되는 문제에 관한 내용 위 내용은 exfl(Excellent)님의 블로그로 연결해 놨습니다.아래는 저의 간단한 의견과, 추측? 정도로만 쓰도록 하겠습니다. http://blog.exfl.kr/150188434156 일단 저는 현장에서 본게 아니라 원격으로 본 경우라 정확하게 뭔 상황인지를 말씀드리기 애매하지만그래도 일단 제가 생각하는 부분과, 추측 정도를 말씀드리도록 하겠습니다. 이런 일이 발생한 이유 1. 정상 앱의 자동 업데이트를 이용한 가로채기 공격 (가능성 20%)실제로 이 공격은 작년 6월달에 있었던 드라마 뭐시기 어플을 가로채기한 사건이 있었습니다.아마 이런 경우라면 상당수의 사람들이 피해를 봐야하고, 지금쯤 포털은 난리 1000%가 나야 합니다.그렇지만 실제로 이런 경우라면, 단순히 저 방법만으로 해결이 가능해서는.. 더보기 MD5 Hash Viewer 3월 20일 악성코드가 약 170개 정도 들어왔다는 소식을 듣고 멘붕에 빠졌다. 망할.. 근데 분석하려고 파일 크기를 보니.. 올ㅋ모두 625KB로 같았다. (물론 아래를 가면 다른게 있다.) 그래도 뭔가 파일 크기가지고만 하기 좀 그래서 파일 해시값으로 이거 다 같음! 이라고 증명하고 싶었다.그래서 초간단으로 Python 코드를 짜서 해시값이 같다는걸 증명했다. 증명! 사실 분석시간이 줄었다고 하긴 힘들지만, 그래도 재미있었따 ㅎㅎ 코드를 공개합니다 ㅎㅎ 사용은 알아서 더보기 difference between dex2jar and d2j-dex2jar Difference between dex2jar and d2j-dex2jar(dex2jar와 d2j-dex2jar 의 차이점) -bunseokbot dex2jar이란?dex2jar는 안드로이드 Dalvik 기반으로 작동되는 classes.dex 파일을 jar 파일로 변환해 주는 툴입니다.Download(https://code.google.com/p/dex2jar/) 이 툴은 분석할때 가장 많이 쓰이는 툴입니다.주로 악성행위를 진단할 때에는 XML보다는 코드를 보기 때문이죠..(이 툴의 제작자는 중국인인거 같습니다.. 역시 갓중국..) 근데 항상 dex2jar를 사용할 때면 이런 문구가 뜨시는걸 보실 수 있습니다. this cmd is deprecated, use the d2j-dex2jar if poss.. 더보기 Android bootkit Oldboot 분석 근 6개월만에 분석 내용을 써보는것 같습니다..스미싱몬 개발이니 유지보수 때문에 분석보고서를 따로 쓸 시간이 없었는데, 이번에 분석할 악성코드는 분석하기에 충분한 가치가 느껴져 분석보고서를 작성해 봅니다.(이거 끝나고 또 소스 고치러 가야..하는 흑) 분석하기 전이번 분석에서는 작성자의 사정으로 동적 분석한 내용은 작성하지 않았습니다.참고 부탁드립니다. 일단 악성코드 분석의 기본, classes.dex 파일을 분석해 보았습니다.(classes.dex 파일에 대한 설명은 하지 않도록 하겠습니다. 나중에 이 파일에 대해 기회가 되면 설명을..) 음...? System.loadLibrary("googlekernel"); 이라니.JNI (Java Native Interface) 기반 악성코드는 6월달 이후 없을.. 더보기 스미싱 특징분석 보호되어 있는 글입니다. 더보기 Detecting Android Emulator 안드로이드 에뮬레이터를 감지하는 이유는 다양하지만 대표적으로 2가지로 나뉜다. 1. 악성코드 분석가가 에뮬레이터를 통해 분석하는 것을 막기 위해2. 불법 앱 사용자가 에뮬레이터에서 AUTO를 돌리는 것을 막기 위해 감지하는 방법은 의외로 간단하다. 에뮬레이터의 경우에는 전화번호가 1555로 시작하는 경우가 많다.Android 에서 제공하는 기본 API 중 TelephonyManager.getLine1Number 함수가 존재하는데이를 이용해 설치된 단말기의 전화번호를 returnjava 에서 contains 함수를 사용하여 1555가 존재하는지 check! if(number.contains("1555")) {//DETECTED} else {//NOT DETECTED} 형식으로 감지해 주는 방법이 있다. 근.. 더보기 안드로이드 APK 파일 분석용 OS 우분투 상에서 안드로이드 패키지 파일을 다각적으로 분석하는 Python 으로 짜여진 프로그램이 담긴 OS를 발견하였습니다. SoftwaresAndroguardAndroid sdk/ndkAPKInspectorApktoolAxmlprinterDedDex2jarDroidBoxJadSmali/Baksmali들이 담겨있다고 하네요 저는 평소에 Jad 하고 Dex2jar Apktool 만 써봤는데 시험 끝나고 다른것들도 많이 써 봐야 겠습니다 다운로드 링크 : https://redmine.honeynet.org/projects/are/wiki 분석할때 좋겠네요 써보고 커스터마이징해서 NTMA TRIARII에 추가할 생각입니다 ㅎㅎ 광고스미싱엔 TRIARII 스미싱 통합 보안솔루션 ( bit.ly/triarii, 좋.. 더보기 신종 스미싱 악성코드 분석보고서 신종 스미싱 악성코드 분석보고서입니다.인증서를 통해서 지난 8월 27일날 발생한 스미싱 악성코드 사건과같은 제작자라는 것을 확인하였습니다. 작성자NTMALab NMSC 악성코드 분석팀 팀장 김남준 더보기 [긴급] 돌잔치 사칭 모바일 악성코드 긴급분석보고서 돌잔치 사칭 악성코드가 증가하네요 ㅠㅠbit.ly/triarii 어서 여러분도 설치하세요~ 더보기 이전 1 2 3 다음
