코드게이트 2014 주니어 세션, 스미싱 동향 및 분석 기법

1. 2012-2014 스미싱 동향 및
분석 기법
안양부흥고등학교 3학년 김남준

2. 김남준 (bunseokbot@N3rdist4n)
안양부흥고등학교 3학년
NTMA 스미싱몬팀 악성코드 분석가 & 개발자
N3rdist4n 최고령팀원
단축 URL 서비스 eaf.kr Administrator
E-Mail : admin@smishing.kr
Blog : blog.smishing.kr

3. Contents
* 스미싱에 대한 간단한 이해
- 스미싱에 대한 일반적 오해
* 2012-2014 스미싱 동향 & 분석 기법
- 차단된 스미싱 링크에서 악성코드 샘플 수집하기
- AndroidManifest.xml 파일 속 특징들 분석하기
- 스미싱 악성코드 Rapid 분석하기
- 악성코드 제작자가 남긴 발자취 추적하기
- 본인이 발견한 스미싱 악성 사이트 직접 대응하기
* Q&A

4. Documentation
codegate.smishing.kr
한국어, English

5. ‘ 휴대폰 사용자가 웹 사이트에 접속하면 트로이목마
를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수
있게 만드는 공격 기법’
- 네이버 지식백과

6. SMISHING SPAM
SMISHINGSPAM

7. 2012-2014 스미싱 동향 및
스미싱 악성코드 분석 기법

8. 차단된 스미싱 링크에서 샘플 수집하기

9. 차단된 스미싱 링크에서 샘플 수집하기

10. 차단된 스미싱 링크에서 샘플 수집하기

11. 차단된 스미싱 링크에서 샘플 수집하기
스미싱 자동수집 시스템 or 분석가
공격자

12. 차단된 스미싱 링크에서 샘플 수집하기
Mozilla/5.0 (Macintosh; Intel
Mac OS X 10.6; rv:2.0.1)
Gecko/20100101 Firefox/4.0.1
Mozilla/5.0 (compatible; MSIE
9.0; Windows NT 6.1;
Trident/5.0)

13. 차단된 스미싱 링크에서 샘플 수집하기
Mozilla/5.0 (Linux; U; Android
4.0.2; en-us; Galaxy Nexus
Build/ICL53F)
AppleWebKit/534.30 (KHTML,
like Gecko) Version/4.0 Mobile
Safari/534.30

14. 차단된 스미싱 링크에서 샘플 수집하기
<script type=“text/javascript”>
var mobileDevice = new Array(‘Android’, ‘SAMSUNG’, ‘LG’, ‘MOT’,
SonyEricsson’);
for(var word in mobileDevice) {
if(navigator.userAgent.match(mobileDevice[word]) != null) {
location.replace(“../smishing.php”);
break;
} else {
location.href = “http://17x.1xx.9x.2x8/smixhxnx.hxx”;
break;
}
}
</script>

15. 차단된 스미싱 링크에서 샘플 수집하기

16. 차단된 스미싱 링크에서 샘플 수집하기

17. AndroidManifest.xml 파일 내 특징 분석하기
malware.apk
META-INF
res, lib, asset
resources.arsc
classes.dex
AndroidManifest.xml

18. AndroidManifest.xml 파일 내 특징 분석하기
난독화된 AndroidManifest.xml 파일

19. AndroidManifest.xml 파일 내 특징 분석하기
https://code.google.com/p/android-apktool
apktool
난독화된 파일 난독화 제거 파일

20. AndroidManifest.xml 파일 내 특징 분석하기
protected.apk
deobfuscate
Strings v2.51

21. AndroidManifest.xml 파일 내 특징 분석하기
Permissions
문자메시지 수신 감지
현재 휴대폰 상태 감지
단말기 부팅 완료 감지
애플리케이션 설치, 삭제 감지
기기 관리자 권한 활성화
저장소 접근
문자메시지 수, 발신
주소록 읽기, 쓰기
부팅 시 자동 실행
휴대폰 상태 변경
전화 걸기
프로세스 종료
인터넷 연결
intent-filters

22. 스미싱 악성코드 Rapid 분석하기
Static Analysis
malware.apk
META-INF
res, lib, asset
resources.arsc
classes.dex
AndroidManifest.xml

23. 스미싱 악성코드 Rapid 분석하기
Static Analysis
malware.apk
META-INF, res, lib, asset
apkprotect.com
resources.arsc
classes.dex
AndroidManifest.xml
http://kkoha.tistory.com/entry/AntiAPKProtect
Anti Apkprotect v0.1 by koha

24. 스미싱 악성코드 Rapid 분석하기
Static Analysis Tip
모든 애플리케이션의 중심은 MainActivity 이다.
+ AndroidManifest.xml Activity Info

25. 스미싱 악성코드 Rapid 분석하기
Static Analysis Tip
분석하기엔 코드가 너무 길고 방대하다

26. 스미싱 악성코드 Rapid 분석하기
Static Analysis Tip
jar 파일로 아무리 해도 변환이 안된다. 그러나 우리에겐 IDA Pro는 너무 비싸다

27. 스미싱 악성코드 실제로 분석하기
최초 발견일 : 2014년 3월 20일
감염자수 : 확인 불가
주요 행위 : 악성 파일 추가 설치, 문자메시지 감시, 주소록 전송
apkprotect.com
unknown protector
apkprotect.com
unknown protector
단순
APP INSTALLER Real Malware

28. 스미싱 악성코드 실제로 분석하기
Downloader
apkprotect.com
unknown protector
OK to Analysis

29. 스미싱 악성코드 실제로 분석하기
Code Recovery Tip
Static fields -
#0 : (in Lcom/android/slientinstall/InstallService;)
name : 'PACKAGE_NAME'
type : 'Ljava/lang/String;'
access : 0x001a (PRIVATE STATIC FINAL)
private static final String PACKAGE_NAME;
nametypeaccess

30. 스미싱 악성코드 실제로 분석하기
AndroidManifest.xml
Permissions
휴대폰 상태 읽기
인터넷 연결
문자메시지 감시
문자메시지 내역 읽고 쓰기
외부 저장소 쓰기
부팅 시 자동 실행
기기 관리자 권한
CPU 상태 유지

31. 스미싱 악성코드 실제로 분석하기
Permissions
휴대폰 상태 읽기
인터넷 연결
문자메시지 감시
문자메시지 내역 읽고 쓰기
외부 저장소 쓰기
부팅 시 자동 실행
기기 관리자 권한
Code Analysis
SlientInstall
SmsReceiver
SQLiteOpenHelper
BootReceiver
SSLSocketFactory
DeviceAdminReceiver
WakeLock

32. 스미싱 악성코드 Rapid 분석하기
Dynamic Analysis
Real Device Android Virtual Device
장점 – 가상기기 감
지로 인한 악성행위
종료의 위험 없음
단점 - 비싼 가격,
USB Debugging
모드로 연결해야 함
장점 – 무료, 네트워
크 Packet 덤프나
로그 추출이 용이함
단점 – 가상기기 감
지로 인한 악성행위
종료의 위험 있음

33. 스미싱 악성코드 Rapid 분석하기
Dynamic Analysis
data 영역 분석
ADB 사용

34. 스미싱 악성코드 Rapid 분석하기
Dynamic Analysis
tPacketCapture (taosoftware co.ltd)
네트워크 패킷 캡쳐용
alogcat (Jeffrey Blattman)
로그 추출용

35. 스미싱 악성코드 Rapid 분석하기
Dynamic Analysis
Android Debug Bridge
Android Device Monitor

36. 스미싱 악성코드 Rapid 분석하기
Dynamic Analysis Tip

37. 악성코드 제작자가 남긴 발자취 추적하기
휴대폰 전화번호
스미싱 유포지
개인정보 수집처

38. 악성코드 제작자가 남긴 발자취 추적하기

39. 악성코드 제작자가 남긴 발자취 추적하기
최초 발견일 : 2014년 2월 20일
감염자수 : 확인 불가
주요 행위 : 문자메시지 감시, 통화내용 도청, 공인인증서 유출, 보이스피싱

40. 악성코드 제작자가 남긴 발자취 추적하기

41. 악성코드 제작자가 남긴 발자취 추적하기

42. 악성코드 제작자가 남긴 발자취 추적하기

43. 악성코드 제작자가 남긴 발자취 추적하기

44. 악성코드 제작자가 남긴 발자취 추적하기

45. 악성코드 제작자가 남긴 발자취 추적하기

46. 악성코드 제작자가 남긴 발자취 추적하기

47. 악성코드 제작자가 남긴 발자취 추적하기

48. 악성코드 제작자가 남긴 발자취 추적하기

49. 악성코드 제작자가 남긴 발자취 추적하기

50. 악성코드 제작자가 남긴 발자취 추적하기

51. 스미싱 악성코드 대응법
spam.kisa.or.kr (KISA 불법스팸대응센터)
krcert.or.kr (KISA 인터넷침해대응센터)

52. 스미싱 악성코드 대응법

53. 스미싱 악성코드 대응법
서버 속 데이터는 소중한 증거물입니다
서버가 차단된 경우 유용하게 사용할 수 있습니다
더 이상 피해가 늘어나지 않도록 하는 가장 빠른 방법입니다

54. Question & Answer

55. 감사합니다!
제 발표는 여기서 마치도록 하겠습니다
Special Thanks to Yangs, jen6
contact : admin@smishing.kr
blog : blog.smishing.kr