SlideShare una empresa de Scribd logo

[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템

GangSeok Lee
GangSeok Lee

2013 CodeEngn Conference 08 안드로이드 악성앱 필터링을 위한 시스템을 주로 다루려고 하고, 특히 요새 큰 관심이 쏠리는 스미싱 앱을 위주로 내용을 진행하면서 안드로이드 어플리케이션의 정적분석 및 동적분석 방법 그리고 해당 분석으로 얻을 수 있는 내용들이 어떤 것이 있는지를 예시를 통해 알아본다. http://codeengn.com/conference/08

Tecnología
1 de 45
Descargar para leer sin conexión
Android Malicious Application Filtering System 세인트시큐리티 김창수 | kcs5287@stsc.com www.CodeEngn.com 2013 CodeEngn Conference 08
Contents • Intro • Android Malicious Application • Malicious Application Analysis • Automation System
Intro
01 Smartphone
02 Android VS iOS
03 Android Architecture
Chapter 1 Android Malicious Application
01 Malware Trend
02 Infection Route
02 Infection Route • 블랙마켓 – 크랙 된 어플리케이션으로 사용자를 유인 – 해커는 자신의 코드를 어플리케이션에 숨기고 배포 • 인터넷 카페 및 블로그 – 블랙마켓과 비슷한 수법 • SMS – 쿠폰 및 할인 등의 문자메시지로 특정 앱을 다운받도록 함 • 구글 마켓 – 비교적 허술한 구글 마켓의 어플리케이션 등록 절차를 이용 – 뒤늦게 삭제 조치되는 경우가 있으나, 그 전에는 피해가 발생
03 • 개인정보 수집 • 금융정보 탈취 • 소액결제를 통한 이득 • 봇넷 • Just For Fun Purpose
04 • SMS를 통해 문자메시지를 가로채는 악성 어플리케이션을 다운로드 받게 한 후, 소액결제를 통한 이득을 획득하는 방법 Smishing
04 Smishing 1. URL 링크가 포함된 SMS 전송 2. URL 링크를 통해 악성 앱 배포 서버에 접근 3. 악성 앱 다운로 드 및 설치 해커 타겟 배포 서버SMS 수집 서버 4. 타겟 기기의 전 화번호로 소액결 제 요청 5. 인증번호 전송 6. 악성앱에 의해 인증번호가 포함된 SMS가 서버에 전송됨 7. 인증번호 확인8. 인증번호 입력 소액 결제 업체
Chapter 2 Malicious Application Analysis
01 Overview
02 • 어플리케이션의 큰 틀을 알 수 있음 • 패키지의 이름, 권한 정보, 액티비티 및 서비스의 종류 등을 알아낼 수 있음 • Apktool을 이용하여 추출 가능 AndroidManifest.xml
02 AndroidManifest.xml
02 AndroidManifest.xml
03 • APK 파일 내의 dex 파일을 java 소스코드로 변환 • undx와 dexdump, jd-gui 를 이용 • 상세한 분석이 필요할 때 효과적 Decompile dex jar java undx dexdump jd-gui
04 • Android Debug Bridge • 컴퓨터와 안드로이드 기기 간의 통신을 도움 ADB ADB
04 • shell : 안드로이드 기기의 shell에 연결한다. • install : 안드로이드 기기에 어플리케이션을 설치한다. • uninstall : 안드로이드 기기에 설치된 어플리케이션을 삭제한다. • push : 안드로이드 기기로 파일을 옮긴다. • pull : 안드로이드 기기에서 파일을 가져온다. ADB
05 • 단말에서 발생하는 로그를 보여줌 • 어플리케이션 개발 시에 디버깅 툴로 사용 • 로그의 우선 순위 – Verbose < Debug < Info < Warning < Error < Fatal < Silent Logcat
05 Logcat
05 • 어플리케이션 로그 이외에 시스템 이벤트를 확인 가능 • adb logcat –d events Logcat
06 • ADB를 이용해 shell로 접속하여 TCP Dump 사용 가능 TCP Dump
07 • 내부의 바이너리를 이용하면 다른 조작없이 스크린샷을 찍을 수 있음 • /system/bin/screencap Screenshot
08 • 안드로이드 커널 소스를 수정하거나 커널 함수를 후킹하여 커널 메시지를 출력토록 함 • adb shell cat /proc/kmsg Kprintf
09 • 준비물 : Linux Machine, git-core, gnupg, sun-java6-jdk, flex, bison, gperf, libsdl-dev, libsd0- dev, libwxgtk2.6-dev, build-essential, zip, curl, libcurses5-dev, zlib1g-dev, x11proto-core- dev, libreadline6-dev, libgl1-mesa-dev, tofrodos, libxml2-utils, xsltproc • 기본적인 안드로이드 커널 소스는 https://android.googlesource.com 에서 받을 수 있음 • 휴대폰 제조사별로 각 휴대폰에 쓰인 커널 소스를 공개 – 삼성전자 : http://opensource.samsung.com/ – LG 전자 : http://www.lg.com/global/support/opensource/index – HTC : http://htcdev.com/devcenter/downloads – 팬택 : http://opensource.pantech.com/model/list.asp?Category=Mobile – 모토로라 : http://sourceforge.net/motorola/ Kernel Modification
09 • Linux Machine에 소스코드 다운로드 – $ cd YOUR_DEV_DIRECTORY $ git clone https://android.googlesource.com/kernel/goldfish $ cd goldfish $ git branch -a $ git checkout –t origin/android-goldfish-2.6.29 –b goldfish • 툴체인 다운로드 – $ cd YOUR_DEV_DIRECTORY $ git clone https://android.googlesource.com/platform/prebuilts/gcc/linux-x86/arm/arm-eabi-4.6 Kernel Modification
09 • 컴파일 – $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- distclean $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- goldfish-defconfig $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- zImage • zImage는 arch/arm/boot/zImage에 생성됨 • emulator –avd <에뮬레이터 이름> -kernel <빌드한 zImage> Kernel Modification
10 • Kprobes : 커널 코드에 원하는 코드를 동적으로 추가할 수 있음 • 커널 설정시 CONFIG_KPORBES 옵션을 선택해야 함 • kprobe, jprobe, kretprobe가 포함됨 Kernel Hooking
10 • includes/linux/kprobes.h Kernel Hooking
10 • kprobe_opcode_t *addr – 커널함수의 주소를 직접 입력하여 후킹 지점을 설정 • char *symbol_name – 커널함수의 이름을 등록하여 후킹 지점을 설정 • kprobe_pre_handler_t pre_handler – 후킹한 함수가 실행되기 전에 호출될 함수를 등록 • kprobe_post_handler_t post_handler – 후킹한 함수가 실행된 후에 호출될 함수를 등록 Kernel Hooking
10 Kernel Hooking
10 • Makefile에 소스 추가 후 컴파일 Kernel Hooking
10 • Adb를 이용해 모듈을 기기로 복사한 후, insmod 명령을 이용해 커널 모듈을 설치 • adb shell cat /proc/kmsg 를 이용하면 printk로 출력되는 내용을 확인 가능 Kernel Hooking
10 • jprobe – 함수에 전해지는 파라미터를 확인할 수 있음 Kernel Hooking
10 • kretprobe – 함수의 반환값을 확인할 수 있음 Kernel Hooking
Chapter 3 Automation System
01 • 모든 악성 어플리케이션을 일일이 분석하기에는 많은 시간이 필요함 • 24시간 감시가 가능 Necessity
02 System Component 정적분석 백신분석 행위분석
03 Procedure 1. 수집채널을 통한 샘플 수집 2. 백신 검사 3. 권한 분석 4. API 추출 5. 행위 분석
04 DEMO
Q & A
Thank You ! www.CodeEngn.com 2013 CodeEngn Conference 08

Recomendados

1.develop environment
1.develop environment1.develop environment
1.develop environment이경주 이경주
 
[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기
[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기
[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기양재동 코드랩
 
iOS Symbolication
iOS SymbolicationiOS Symbolication
iOS Symbolication오석 서
 
Overview
OverviewOverview
Overview이경주 이경주
 
Cortex M3에서 Wi-Fi 사용하기
Cortex M3에서 Wi-Fi 사용하기Cortex M3에서 Wi-Fi 사용하기
Cortex M3에서 Wi-Fi 사용하기동은 곽
 
WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기
WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기
WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기동은 곽
 
[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서
[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서
[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서엔에이치엔디엔티(NHN D&T)
 
05 pe 헤더(pe header)
05 pe 헤더(pe header)05 pe 헤더(pe header)
05 pe 헤더(pe header)Ilsun Choi
 

Recomendados

1.develop environment
1.develop environment1.develop environment
1.develop environment이경주 이경주
 
[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기
[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기
[Codelab 2017] Ionic Framework을 통한 하이브리드앱 개발하기양재동 코드랩
 
iOS Symbolication
iOS SymbolicationiOS Symbolication
iOS Symbolication오석 서
 
Overview
OverviewOverview
Overview이경주 이경주
 
Cortex M3에서 Wi-Fi 사용하기
Cortex M3에서 Wi-Fi 사용하기Cortex M3에서 Wi-Fi 사용하기
Cortex M3에서 Wi-Fi 사용하기동은 곽
 
WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기
WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기
WizFi250을 이용하여 Arduino에서 Wi-Fi 사용하기동은 곽
 
[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서
[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서
[에이스카운터 웹로그분석]에이스카운터 ASP 서비스 소개서엔에이치엔디엔티(NHN D&T)
 
05 pe 헤더(pe header)
05 pe 헤더(pe header)05 pe 헤더(pe header)
05 pe 헤더(pe header)Ilsun Choi
 
Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detectionIlsun Choi
 
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)NAVER D2
 
Ransomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & MitigationRansomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & MitigationWhiskeyNeon
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안창열 최
 
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이GangSeok Lee
 
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?GangSeok Lee
 
개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on DebuggingNasol Kim
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KOGangSeok Lee
 
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드GangSeok Lee
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토plainbit
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
 
엑셀왕국
엑셀왕국엑셀왕국
엑셀왕국SeungYeon Jeong
 
Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석mangonamu
 
Programming skills 1부
Programming skills 1부Programming skills 1부
Programming skills 1부JiHyung Lee
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KOGangSeok Lee
 
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이GangSeok Lee
 
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹NAVER D2
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?plainbit
 
Html5 강좌파일_v_3.0
Html5 강좌파일_v_3.0Html5 강좌파일_v_3.0
Html5 강좌파일_v_3.0Youngjo Jang
 
(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101INSIGHT FORENSIC
 
CI in the Mobile World (한글번역)
CI in the Mobile World (한글번역)CI in the Mobile World (한글번역)
CI in the Mobile World (한글번역)DONGSU KIM
 

Más contenido relacionado

Destacado

Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detectionIlsun Choi
 
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)NAVER D2
 
Ransomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & MitigationRansomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & MitigationWhiskeyNeon
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안창열 최
 
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이GangSeok Lee
 
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?GangSeok Lee
 
개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on DebuggingNasol Kim
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KOGangSeok Lee
 
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드GangSeok Lee
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토plainbit
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware TrackerGangSeok Lee
 
Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석mangonamu
 
Programming skills 1부
Programming skills 1부Programming skills 1부
Programming skills 1부JiHyung Lee
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KOGangSeok Lee
 
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이GangSeok Lee
 
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹NAVER D2
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?plainbit
 
Html5 강좌파일_v_3.0
Html5 강좌파일_v_3.0Html5 강좌파일_v_3.0
Html5 강좌파일_v_3.0Youngjo Jang
 

Destacado (20)

Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detection
 
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
Christmas CTF 보안대회 수상팀 문제풀이서(팀명:쀼쀼뺘뺘)
 
Ransomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & MitigationRansomware: History, Analysis, & Mitigation
Ransomware: History, Analysis, & Mitigation
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
[2012 CodeEngn Conference 07] nesk - Defcon 20th : 본선 CTF 문제풀이
 
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
[2014 CodeEngn Conference 11] 최우석 - 자바스크립트 난독화 너네 뭐니?
 
개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging개영한줄영작_Giving Advice on Debugging
개영한줄영작_Giving Advice on Debugging
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis KO
 
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
[2012 CodeEngn Conference 07] manGoo - Exploit Writing Technique의 발전과 최신 트랜드
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
 
[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker[2013 CodeEngn Conference 09] proneer - Malware Tracker
[2013 CodeEngn Conference 09] proneer - Malware Tracker
 
엑셀왕국
엑셀왕국엑셀왕국
엑셀왕국
 
Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석
 
Programming skills 1부
Programming skills 1부Programming skills 1부
Programming skills 1부
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study KO
 
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
[2010 CodeEngn Conference 04] hahah - Defcon 18 CTF 문제풀이
 
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?
 
Html5 강좌파일_v_3.0
Html5 강좌파일_v_3.0Html5 강좌파일_v_3.0
Html5 강좌파일_v_3.0
 

Similar a [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템

(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101INSIGHT FORENSIC
 
CI in the Mobile World (한글번역)
CI in the Mobile World (한글번역)CI in the Mobile World (한글번역)
CI in the Mobile World (한글번역)DONGSU KIM
 
망고100 보드로 놀아보자 17
망고100 보드로 놀아보자 17망고100 보드로 놀아보자 17
망고100 보드로 놀아보자 17종인 전
 
세션2_데보션테크데이_Decapod_v1.2.pdf
세션2_데보션테크데이_Decapod_v1.2.pdf세션2_데보션테크데이_Decapod_v1.2.pdf
세션2_데보션테크데이_Decapod_v1.2.pdfJaesuk Ahn
 
Java, android 스터티5
Java, android 스터티5Java, android 스터티5
Java, android 스터티5Heejun Kim
 
Python on Android
Python on AndroidPython on Android
Python on Android용 최
 
React native development
React native developmentReact native development
React native developmentSangSun Park
 
안드로이드 플랫폼 설명
안드로이드 플랫폼 설명안드로이드 플랫폼 설명
안드로이드 플랫폼 설명Peter YoungSik Yun
 
ant로 안드로이드 앱을 자동으로 빌드하자
ant로 안드로이드 앱을 자동으로 빌드하자ant로 안드로이드 앱을 자동으로 빌드하자
ant로 안드로이드 앱을 자동으로 빌드하자Sewon Ann
 
Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기
Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기
Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기YoungjikYoon
 
Modularization with Dynamic Feature Module
Modularization with Dynamic Feature ModuleModularization with Dynamic Feature Module
Modularization with Dynamic Feature ModuleNAVER Engineering
 
[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석
[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석
[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석NAVER D2
 
[123] electron 김성훈
[123] electron 김성훈[123] electron 김성훈
[123] electron 김성훈NAVER D2
 
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비NAVER D2
 
[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)
[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)
[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)Sang Don Kim
 
ADB Backup 관련 연구
ADB Backup 관련 연구ADB Backup 관련 연구
ADB Backup 관련 연구NewHeart
 
안드로이드 오픈마켓_보안이슈
안드로이드 오픈마켓_보안이슈안드로이드 오픈마켓_보안이슈
안드로이드 오픈마켓_보안이슈Lee Ji Eun
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarYongjun Park
 
(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debugger(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debuggerINSIGHT FORENSIC
 
Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)
Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)
Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)Cloud-Barista Community
 

Similar a [2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템 (20)

(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101(120128) #fitalk android forensics 101
(120128) #fitalk android forensics 101
 
CI in the Mobile World (한글번역)
CI in the Mobile World (한글번역)CI in the Mobile World (한글번역)
CI in the Mobile World (한글번역)
 
망고100 보드로 놀아보자 17
망고100 보드로 놀아보자 17망고100 보드로 놀아보자 17
망고100 보드로 놀아보자 17
 
세션2_데보션테크데이_Decapod_v1.2.pdf
세션2_데보션테크데이_Decapod_v1.2.pdf세션2_데보션테크데이_Decapod_v1.2.pdf
세션2_데보션테크데이_Decapod_v1.2.pdf
 
Java, android 스터티5
Java, android 스터티5Java, android 스터티5
Java, android 스터티5
 
Python on Android
Python on AndroidPython on Android
Python on Android
 
React native development
React native developmentReact native development
React native development
 
안드로이드 플랫폼 설명
안드로이드 플랫폼 설명안드로이드 플랫폼 설명
안드로이드 플랫폼 설명
 
ant로 안드로이드 앱을 자동으로 빌드하자
ant로 안드로이드 앱을 자동으로 빌드하자ant로 안드로이드 앱을 자동으로 빌드하자
ant로 안드로이드 앱을 자동으로 빌드하자
 
Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기
Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기
Gradle Kotlin 컨벤션 플러그인으로 효율적으로 멀티 모듈 관리하기
 
Modularization with Dynamic Feature Module
Modularization with Dynamic Feature ModuleModularization with Dynamic Feature Module
Modularization with Dynamic Feature Module
 
[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석
[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석
[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석
 
[123] electron 김성훈
[123] electron 김성훈[123] electron 김성훈
[123] electron 김성훈
 
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
 
[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)
[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)
[Td 2015]알아두면 핵 이득! vc++로 안드로이드 개발하기(김성엽)
 
ADB Backup 관련 연구
ADB Backup 관련 연구ADB Backup 관련 연구
ADB Backup 관련 연구
 
안드로이드 오픈마켓_보안이슈
안드로이드 오픈마켓_보안이슈안드로이드 오픈마켓_보안이슈
안드로이드 오픈마켓_보안이슈
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS Serminar
 
(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debugger(111217) #fitalk rootkit tools and debugger
(111217) #fitalk rootkit tools and debugger
 
Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)
Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)
Cloud-Barista 제7차 컨퍼런스 : 멀티클라우드 인프라 서비스 연동 (CB-Spider)
 

Más de GangSeok Lee

[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안GangSeok Lee
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석GangSeok Lee
 
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 FuzzingGangSeok Lee
 
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼GangSeok Lee
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study ENGangSeok Lee
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis ENGangSeok Lee
 
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드GangSeok Lee
 
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)GangSeok Lee
 
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기GangSeok Lee
 
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다GangSeok Lee
 
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과GangSeok Lee
 
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualizationGangSeok Lee
 
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploitsGangSeok Lee
 
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론GangSeok Lee
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석GangSeok Lee
 
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽GangSeok Lee
 
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against BotnetGangSeok Lee
 
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들GangSeok Lee
 
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...GangSeok Lee
 
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...GangSeok Lee
 

Más de GangSeok Lee (20)

[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
[2014 CodeEngn Conference 11] 박한범 - 가상화 기술과 보안
 
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석
 
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
[2014 CodeEngn Conference 11] 남대현 - iOS MobileSafari Fuzzer 제작 및 Fuzzing
 
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
[2014 CodeEngn Conference 11] 김기홍 - 빅데이터 기반 악성코드 자동 분석 플랫폼
 
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
[2014 CodeEngn Conference 11] 박세한 - IE 1DAY Case Study EN
 
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
[2014 CodeEngn Conference 11] 김호빈 - Android Bootkit Analysis EN
 
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
[2014 CodeEngn Conference 11] 정든품바 - 웹성코드
 
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
[2014 CodeEngn Conference 10] 정광운 - 안드로이드에서도 한번 후킹을 해볼까 (Hooking on Android)
 
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
[2014 CodeEngn Conference 10] 노용환 - 디버거 개발, 삽질기
 
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
 
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
[2013 CodeEngn Conference 09] x15kangx - MS Office 2010 문서 암호화 방식 분석 결과
 
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
[2013 CodeEngn Conference 09] BlueH4G - hooking and visualization
 
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
[2013 CodeEngn Conference 09] wh1ant - various tricks for linux remote exploits
 
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
 
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
 
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet[2010 CodeEngn Conference 04] Max - Fighting against Botnet
[2010 CodeEngn Conference 04] Max - Fighting against Botnet
 
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
[2010 CodeEngn Conference 04] window31 - Art of Keylogging 키보드보안과 관계없는 키로거들
 
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
[2009 CodeEngn Conference 03] externalist - Reversing Undocumented File Forma...
 
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
 

[2013 CodeEngn Conference 08] Homeless - Android 악성앱 필터링 시스템

  • 1. Android Malicious Application Filtering System 세인트시큐리티 김창수 | kcs5287@stsc.com www.CodeEngn.com 2013 CodeEngn Conference 08
  • 2. Contents • Intro • Android Malicious Application • Malicious Application Analysis • Automation System
  • 10. 02 Infection Route • 블랙마켓 – 크랙 된 어플리케이션으로 사용자를 유인 – 해커는 자신의 코드를 어플리케이션에 숨기고 배포 • 인터넷 카페 및 블로그 – 블랙마켓과 비슷한 수법 • SMS – 쿠폰 및 할인 등의 문자메시지로 특정 앱을 다운받도록 함 • 구글 마켓 – 비교적 허술한 구글 마켓의 어플리케이션 등록 절차를 이용 – 뒤늦게 삭제 조치되는 경우가 있으나, 그 전에는 피해가 발생
  • 11. 03 • 개인정보 수집 • 금융정보 탈취 • 소액결제를 통한 이득 • 봇넷 • Just For Fun Purpose
  • 12. 04 • SMS를 통해 문자메시지를 가로채는 악성 어플리케이션을 다운로드 받게 한 후, 소액결제를 통한 이득을 획득하는 방법 Smishing
  • 13. 04 Smishing 1. URL 링크가 포함된 SMS 전송 2. URL 링크를 통해 악성 앱 배포 서버에 접근 3. 악성 앱 다운로 드 및 설치 해커 타겟 배포 서버SMS 수집 서버 4. 타겟 기기의 전 화번호로 소액결 제 요청 5. 인증번호 전송 6. 악성앱에 의해 인증번호가 포함된 SMS가 서버에 전송됨 7. 인증번호 확인8. 인증번호 입력 소액 결제 업체
  • 16. 02 • 어플리케이션의 큰 틀을 알 수 있음 • 패키지의 이름, 권한 정보, 액티비티 및 서비스의 종류 등을 알아낼 수 있음 • Apktool을 이용하여 추출 가능 AndroidManifest.xml
  • 19. 03 • APK 파일 내의 dex 파일을 java 소스코드로 변환 • undx와 dexdump, jd-gui 를 이용 • 상세한 분석이 필요할 때 효과적 Decompile dex jar java undx dexdump jd-gui
  • 20. 04 • Android Debug Bridge • 컴퓨터와 안드로이드 기기 간의 통신을 도움 ADB ADB
  • 21. 04 • shell : 안드로이드 기기의 shell에 연결한다. • install : 안드로이드 기기에 어플리케이션을 설치한다. • uninstall : 안드로이드 기기에 설치된 어플리케이션을 삭제한다. • push : 안드로이드 기기로 파일을 옮긴다. • pull : 안드로이드 기기에서 파일을 가져온다. ADB
  • 22. 05 • 단말에서 발생하는 로그를 보여줌 • 어플리케이션 개발 시에 디버깅 툴로 사용 • 로그의 우선 순위 – Verbose < Debug < Info < Warning < Error < Fatal < Silent Logcat
  • 24. 05 • 어플리케이션 로그 이외에 시스템 이벤트를 확인 가능 • adb logcat –d events Logcat
  • 25. 06 • ADB를 이용해 shell로 접속하여 TCP Dump 사용 가능 TCP Dump
  • 26. 07 • 내부의 바이너리를 이용하면 다른 조작없이 스크린샷을 찍을 수 있음 • /system/bin/screencap Screenshot
  • 27. 08 • 안드로이드 커널 소스를 수정하거나 커널 함수를 후킹하여 커널 메시지를 출력토록 함 • adb shell cat /proc/kmsg Kprintf
  • 28. 09 • 준비물 : Linux Machine, git-core, gnupg, sun-java6-jdk, flex, bison, gperf, libsdl-dev, libsd0- dev, libwxgtk2.6-dev, build-essential, zip, curl, libcurses5-dev, zlib1g-dev, x11proto-core- dev, libreadline6-dev, libgl1-mesa-dev, tofrodos, libxml2-utils, xsltproc • 기본적인 안드로이드 커널 소스는 https://android.googlesource.com 에서 받을 수 있음 • 휴대폰 제조사별로 각 휴대폰에 쓰인 커널 소스를 공개 – 삼성전자 : http://opensource.samsung.com/ – LG 전자 : http://www.lg.com/global/support/opensource/index – HTC : http://htcdev.com/devcenter/downloads – 팬택 : http://opensource.pantech.com/model/list.asp?Category=Mobile – 모토로라 : http://sourceforge.net/motorola/ Kernel Modification
  • 29. 09 • Linux Machine에 소스코드 다운로드 – $ cd YOUR_DEV_DIRECTORY $ git clone https://android.googlesource.com/kernel/goldfish $ cd goldfish $ git branch -a $ git checkout –t origin/android-goldfish-2.6.29 –b goldfish • 툴체인 다운로드 – $ cd YOUR_DEV_DIRECTORY $ git clone https://android.googlesource.com/platform/prebuilts/gcc/linux-x86/arm/arm-eabi-4.6 Kernel Modification
  • 30. 09 • 컴파일 – $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- distclean $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- goldfish-defconfig $ Make ARCH=arm CROSS_COMPILE={TOOL CHAIN DIRECTORY}/arm-eabi- zImage • zImage는 arch/arm/boot/zImage에 생성됨 • emulator –avd <에뮬레이터 이름> -kernel <빌드한 zImage> Kernel Modification
  • 31. 10 • Kprobes : 커널 코드에 원하는 코드를 동적으로 추가할 수 있음 • 커널 설정시 CONFIG_KPORBES 옵션을 선택해야 함 • kprobe, jprobe, kretprobe가 포함됨 Kernel Hooking
  • 33. 10 • kprobe_opcode_t *addr – 커널함수의 주소를 직접 입력하여 후킹 지점을 설정 • char *symbol_name – 커널함수의 이름을 등록하여 후킹 지점을 설정 • kprobe_pre_handler_t pre_handler – 후킹한 함수가 실행되기 전에 호출될 함수를 등록 • kprobe_post_handler_t post_handler – 후킹한 함수가 실행된 후에 호출될 함수를 등록 Kernel Hooking
  • 35. 10 • Makefile에 소스 추가 후 컴파일 Kernel Hooking
  • 36. 10 • Adb를 이용해 모듈을 기기로 복사한 후, insmod 명령을 이용해 커널 모듈을 설치 • adb shell cat /proc/kmsg 를 이용하면 printk로 출력되는 내용을 확인 가능 Kernel Hooking
  • 37. 10 • jprobe – 함수에 전해지는 파라미터를 확인할 수 있음 Kernel Hooking
  • 38. 10 • kretprobe – 함수의 반환값을 확인할 수 있음 Kernel Hooking
  • 40. 01 • 모든 악성 어플리케이션을 일일이 분석하기에는 많은 시간이 필요함 • 24시간 감시가 가능 Necessity
  • 42. 03 Procedure 1. 수집채널을 통한 샘플 수집 2. 백신 검사 3. 권한 분석 4. API 추출 5. 행위 분석
  • 44. Q & A
  • 45. Thank You ! www.CodeEngn.com 2013 CodeEngn Conference 08