DarkSoul.Story

1. TelephonyManager : 안드로이드 디바이스에서 전화 통신 서비스 정보에 대한 액세스를 제공한다. - 사용되는 함수 getSubscriberId() : GSM 휴대폰에서 고유한 가입자 ID를 반환한다. 만약 사용할 수없는 경우에는 null값을 반환 한다. getDeviceId() : GSM나 CDMA 휴대폰에서 고유한 장치 ID를 반환한다. 장치 ID를 사용할 수 없는 경우는 null값 을 반환 한다. getLine1Number() : 전화번호를 반환한다. 정보를 가져오기 위해서는 android.permission.READ_PHONE_STATE 권한이 필요하다. 2. ActivityManager : 시스템에서 실행되는 전반적인 활동과 상호 작용에 관여한다. ActivityManager.Ru..

1. android.permission.READ_PHONE_STATE : 응용 프로그램이 휴대 전화의 상태를 읽을 수 있도록 허용 한다. 2. android.permission.GET_TASKS : 응용 프로그램이 현재 또는 최근에 실행된 작업에 대한 정보를 얻을 수 있도록 허용 한다. 2013/11/21 - [Android/관련 내용] - 악성 앱에서 자주 사용되는 클래스 및 함수들

1. 사이트 주소 http://tracedroid.few.vu.nl/submit.php 2. 개요Tracedroid는 안드로이드 APK 동적 분석 온라인 서비스로, 분석을위해 안드로이드 APK 파일을 Tracedroid에 업로드 하여 분석 한다. Tracedroid는 업로드한 APK을 동적 분석을 하여, 실행되고 네트워크 통신, UI, 내부 함수 호출 및 Java 코드등 실행되는 모든것을 기록한다.Tracedroid는 응용 프로그램의 실제 동작을 트리거하려면, 사용자와의 상호 작용, 수신 통화 및 SMS 메시지 등 여러 가지 작업을 에뮬레이트한다. 그중 앱에서 가장 악의적인 부분을 보여준다. 3. 서비스 이용 방법위 URL로 접속을 하면, 아래와 같은 화면이 나타난다. 여기서 File 부분에 분석하고자 ..

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 금융 정보 탈취 및 도청 등 사생활 침해 목적의 기능을 가진 악성 앱 (대출 관련 법원 등기) App.apk 해당 앱은 아래와 같은 은행 대출 문제로 법원등기가 발송되었으나 부재중 ~ 이라는 문자 내용으로 대출 내역을 확인하기 위해 문자 메시지에 같이 존재하는 링크를 클릭하도록 유도한다. (참고 : 링크 URL은 단축 URL이 아님) File name:App.apk MD5:7e2116d1685dfc3cca02234bef122a1f SHA-1:0293ee4734c3e64009b9b112b6541dce124bed44 F..

androguard 및 필요한 모듈을 설치 하고, androsign.py / androcsign.py를 처음 사용할 때 아래와 같은 에러가 발생할 수 있다. root@DarkSoul-Kali:~/androguard# ./androsign.py -hTraceback (most recent call last): File "./androsign.py", line 29, in from elsim.elsign import dalvik_elsign File "./elsim/elsim/elsign/dalvik_elsign.py", line 28, in from libelsign.libelsign import Elsign, entropyImportError: No module named libelsignroot@Dar..

넷빈즈 IDE (Netbeans IDE)는 신속하고 간편하게 HTML, JavaScript 및 CSS와 자바 데스크탑, 모바일 및 웹 애플리케이션뿐만 아니라 HTML5 응용 프로그램을 개발할 수 있다. 또한 PHP , C / C + + 개발자를위한 도구 세트를 제공한다. 넷빈즈 IDE (Netbeans IDE)는 무료로 사용할 수 있는 오픈 소스이기 때문에, 전세계 사용자와 개발자들의 소통하는 커뮤니티를 가지고 있다. 공식 홈페이지 : https://netbeans.org/features/index.html 다운로드 페이지 : https://netbeans.org/downloads/index.html 필자는 Linux 플랫폼에서 Java SE를 이용하여, 설치를 진행하였다. 넷빈즈 IDE (Netbean..

Social Engineering 카테고리는 카테고리 이름에서도 보듯이 Social Engineering 공격에 사용되는 모듈로 구성되어 있다. BeEF 0.4.4.5-alpha 기준으로 10개의 모듈이 존재한다. 여기서는 몇가지 모듈을 살펴보면서, Social Engineering 카테고리에 대해 알아보자. 1. Fake Notification Fake Notification 모듈은 Hooked Browser에서 hook.js가 삽입된 페이지 하단에 BeEF에서 작성한 가까 알림 메시지를 출력하는 모듈이다. Fake Notification 모듈을 사용하기 위해서는 Commands 탭에서 Social Engineering 카테고리에 존재하는 Fake Notification를 선택한다. Fake Notif..

BeEF는 hook.js가 삽입된 페이지에서 다른 페이지를 이동하거나, hook.js가 삽입되어 있는 브라우저를 종료할 경우 연결이 종료된다는 단점이 존재한다. 이러한 단점을 조금이나마 보강 하기 위해 Persistence 카테고리가 존재한다. Persistence를 사전에서 찾아보면 (없어지지 않고 오래 동안) 지속됨이라는 뜻을 가지고있다. 사전적 의미 그대로 Persistence 카테고리는 BeEF와 Hooked Browser의 연결을 조금이라도 오래 연결 할 수 있도록 하는 모듈로 구성된 카테고리이다. BeEF 0.4.4.5-alpha를 기준으로 4개의 모듈로 구성되어 있다. 여기서는 2가지 모듈을 살펴보면서, Persistence 카테고리가 어떤 용도로 사용되는지 알아본다. 1. Confirm C..

Browser 카테고리는 현재 Hooked Browser (좀비PC)를 이용해서 정보를 수집하는 모듈 위주로 구성되어 있는 반면에, 하위에 존재하는 Hooked Domain 카테고리는 정보 수집 보다는 무엇인가를 동작 하는 모듈 위주로 구성되어 있다. BeEF 0.4.4.5-alpha 기준으로 Hooked Domain 카테고리는 20개의 모듈이 존재한다. 1. Get Cookie Get Cookie 모듈은 Hooked Browser의 현재 페이지에서 세션 쿠키를 가져오는 모듈이다. Get Cookie 모듈을 사용하기 위해서는 Commands 탭에서 Browser 카테고리 하위에 존재하는 Hooked Domain 카테고리에서 Get Cookie를 선택한다. Get Cookie 모듈을 선택하면, 오른쪽 하단..

웹 페이지에 hook.js를 삽입한 후 피해자가 hook.js가 삽입된 웹 페이지를 방문하면 피해자 PC에서 hook.js가 동작하면서, Hooked Browser (좀비PC)가 된다. Hooked Browser가 되면 자동으로 Hooked Browser의 대한 정보를 수집한다. 브라우저 이름 / 버전 브라우저의 User-Agent 브라우저 플랫폼 브라우저 플러그인 (자바, 액티브 X, VBS, 플래시 등 ) Windows Size 아래는 BeEF에 의해 수집된 Hooked Browser의 웹 브라우저(Browser) 기본 정보이다. 별도의 모듈을 사용하면 앞서 확인한 기본 정보 이외에 Hooked Browser의 웹 브라우저(Browser)에 대한 자세한 정보를 수집할 수 있다. 웹 브라우저(Brows..