#4 앱 자동 분석 시스템 - 안드로이드 모바일 앱 모의해킹

4.1. 샌드드로이드

-

SandDroid 는 안드로이드 앱 온라인 자동 분석 시스템으로, apk 또는 zip 파일을 업로드하면 정적 및 동적 분석을 해준다.

-

분석이 끝나면 분석 결과를 종합하여 위험 행위 분석과 위험 점수를 알려준다.

-

sanddroid.xjtu.edu.cn 을 통해 수행한다.

-

결과물은 샌드로이드 분석 결과, 파일의 분석 시간, 해시값(추후 다시 이력을 찾을 때 사용), 패키지 이름, pcap 파일, 로그캣 정보 등이다.

pcap 파일은 네트워크 트래픽을 모두 기록하여 저장한 정보이다.

4.2. QARK

4.2.1. QARK 이란?

-

QARK(Quick Android Review Kit)은 데프콘 23 USA 2015 라는 이름으로 발표되면서 주목받은 오픈소스 안드로이드 앱 취약점 진단 프레임워크다.

4.2.2. QARK 설치 및 실행

-

github.com/linkedin/qark

4.2.3. QARK 를 이용한 앱 분석

4.2.4. 분석 결과 확인

-

분석 결과는 report 폴더에서 확인할 수 있다.

html 형태로 output 이 나온다.

4.3. MobSF 를 활용한 자동 분석

4.3.1. MobSF 란?

-

샌드드로이드는 온라인 분석 도구이기 때문에 분석 결과를 외부 서비스에 업로드해야 한다는 불안감이 있다.

오프라인으로 샌드드로이드와 같은 분석 시스템이 필요하다면 MobSF 소스 프레임워크로 내부에 자동 분석 시스템을 구축할 수 있다.

-

MobSF(Mobile Security Framework)는 오픈소스 모바일 앱 자동화 보안 진단 프레임워크이다.

모바일 앱의 정적 및 동적 분석을 자동으로 수행할 수 있다.

안드로이드와 iOS 모두 분석할 수 있으며, 정적 및 동적 분석뿐만 아니라 Web API Fuzzer 기능도 지원한다.

4.3.2. MobSF 설치 및 분석 환경 구축

-

정적 분석 : github.com/ajinabraham/Mobile-Security-Framework-MobSF/release

동적 분석 : goo/gl/h7CCxx

-

MobSF 는 가독성이 뛰어난 분석 보고서를 제공한다는 장점이 있다.

-

MobSF 는 아직 베타 버전이라 기능상 완벽하지 않거나 불안전한 모습을 보일 수도 있다.

그러나 매우 빠른 속도로 발전하고 있다.

4.4. 앱 유즈(AppUse) 테스팅 도구 활용법

4.4.1. 앱 유즈란 무엇인가?

-

앱 유즈(AppUSE)는 AppSec Labs 에서 제작된 안드로이드 분석 및 보안 테스팅 도구다.

기존에 수동으로 분석했던 작업들을 간단하고 편리하게 진행할 수 있도록 가상 이미지 형태로 제공한다.

-

appsec-labs.com

무료 버전과 프로 버전으로 나뉜다.

실제 디바이스를 대상으로 테스트가 가능하고, 동적 분석 및 상세 분석 기능을 제공한다.

4.4.2. 에뮬레이터 실행 및 앱 설치

4.4.3. 지원 도구

4.4.4. 앱 리버싱 도구 및 과정 설명

4.4.5. 앱 도구

4.4.6. 프록시 설정

4.5. 기타 자동 분석 도구 활용

4.5.1. Inspeckage 를 활용한 앱 분석

-

Inspeckage 는 디바이스에 설치되며 앱 API 함수를 후킹하여 동적 분석한 내용을 웹 서비스 기반으로 보여주는 앱이다.

서버에 요청하는 값, 앱 권한, 공유 라이브러리, 노출된 앱 취약점 등을 확인할 수 있다.

특히 중요 설정 파일들과 파일 접근, 데이터베이스 접근 정보들을 실시간으로 파악할 수 있기 때문에 액티비티 동작 과정에서 어떤 행위를 하는지 정확하게 파악할 수 있다.

이는 악성코드 앱을 분석할 때도 유용하다.

-

Inspeckage 를 실행하기 전에 Xposed Framework 앱을 설치해야 한다.

4.5.2. Androbugs 를 활용한 앱 분석

-

Androbugs 프레임워크는 단일 앱의 취약점을 빠르게 분석할 수 있는 프레임워크이다.

4.6. 마무리하며