Analysis 24

[Android Malware] 알약 모바일 백신 위장 스미싱 (alyac.apk) 분석

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 스미싱 문자로 전파되고 있는 알약 모바일 백신 위장 파일인 alayc.apk에 대해서 살펴 본다. Filename:alyac.apk MD5:d400c1b9392063fc888cb942c7ecb6ac SHA-1:69ab7756949624714b751244f704e7d5573183aa File Size:306923 BytesAPI Level:5 현재 전파되고 있는 알약 모바일 백신 위장 스미싱은 아래와 같은 유형으로 전파되고 있다. (추가 확인 시 업데이트 예정) 2. 분석 내용 알약 모바일 백신 위장 스미싱 (alya..

Analysis 2013.04.21

[Android Malware] 아웃백 소액 결제 사기 (smartbilling.apk) 분석

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 근래에 이슈가 되고있는 스미싱에 사용되는 파일로, 필자가 받은 문자 내용은 아웃백 결재 내역 확인 문자였다. 스미싱에 대한 내용은 경찰청 사이버 테러 대응 센터 신종 모바일 사기 제대로알고 대처하는 방법 ( http://www.netan.go.kr/pop/smishing.html)을 참고하기 바란다. Filename:smartbilling.apk MD5:2d6ff3b040feb910f34175cf7ac1ca0b SHA-1:97cc713272a4499c5b6b48ef9caa4203d5eacb10 File Size:49..

Analysis 2013.03.30

PingTunneling 패킷 분석

개요 ICMP(Ping) 패킷에 Data를 넣어 전송 하는 PingTunneling 패킷을 분석 해보자. 상세 분석 Ping 유틸리티는 목적지에 ICMP Request를 전송한 다음, 목적지로 부터 ICMP Response를 받는 방식으로 동작하는데, ICMP Request / ICMP Response 패킷에 아무 의미 없는 값을 채워 전송할 수 있는 공간이 마련되어 있다. 즉, Ping에 적절한 인자값을 넣어 주면, 패킷의 길이를 지정할 수 있다. Ping의 또다른 특징은 Ping을 사용했을 때, Request / Response 패킷의 의미없는 값은 서로 같지 않아도 되며, Ping Request는 어플리케이션에서 전송하지만, Response는 커널에서 이루어 진다. 이러한 특징을 이용하여, Ping..

Analysis 2013.01.30

기본적인 HTTP Packet 분석

일반적인 HTTP 통신은 [그림.1]과 같이 클라이언트가 HTTP 서버에 요청을 하면, HTTP 서버는 상태 코드로 응답한다. [그림.1 일반적인 HTTP 통신] HTTP 서버가 보내는 상태 코드 중 가장 많이 확인 할 수 있는 상태 코드는 다음과 같으며, http://www.iana.org/assignments/http-status-codes/http-status-codes.xml에서 자세한 상태 코드를 확인 할 수 있다. 코드값설명200OK403Forbidden404Not Found500Internal Server Error503Service Unavailable[표.1 상태 코드] HTTP 요청은 HTTP 요쳥 목적을 정의하는 메소드로 구성되어 있으며, HTTP 응답은 상태 코드라고 말하는, 수치상..

Analysis 2013.01.30

기본적인 SMTP Packet 분석

MTP는 전자우편을 보내고 받는데 사용되는 TCP/IP 프로토콜이며, 기본적으로 25포트를 사용하지만, 특정 포트로 변경하여 설정할 수 있다. SMTP도 POP와 마찬가지로 기본적으로 보안 기능을 제공하지 않는다. [그림.1 일반적인 SMTP 통신] 1. 3-way handshaking 과정을 거친 후 SMTP 서버는 준비가 되었다는 것을 알리는 코드 220으로 응답한다. 2. 클라이언트는 호스트 이름과 HELO 또는 EHLO를 전송한다. HELO : 표준 SMTP 세션 시작 EHLO : 메일 서비스 확장을 지원하는 SMTP세션 시작 3. 클라이언트는 MAIL FROM과 함께 form 이메일 주소를 제공한다. 4. (4-1.) 이메일 주소를 제공 받은 SMTP서버는 이를 승인 한다. 만약 승인이 되지 않..

Analysis 2013.01.30

기본적인 POP Packet 분석

POP 3(Post Office Protocol v3)은 수신하는 계정의 메일 박스에서 메일을 가져오는 프로토콜로 대부분의 이메일 클라이언트에서 채택하여 사용 하고 있으며, TCP 110번 포트를 사용한다. POP 자체는 이메일 데이터 전송함에 있어 보안을 제공하지 않는다. 다음은 일반적인 POP 통신을 보여준다. [그림.1 일반적인 POP 통신] 1. 사용자가 계정 ID와 Password를 입력하면, POP 서버는 이메일이 몇 개 도착하였는지, 클라이언트에게 알린다. ([그림.1]에서는 1개의 메시지가 있다고 알린다.) 2. 클라이언트가 메시지의 상태를 묻는다. 3. POP 서버는 해당 메시지의 크기를 클라이언트에게 알려준다. 4. 클라이언트는 해당 메시지의 고유 ID를 묻는다. 5. POP 서버는 해..

Analysis 2013.01.30

기본적인 FTP Packet 분석

FTP는 TCP상에서 파일 전송에 사용되고, TFTP(Trivial File Transfer Protocol)은 UDP를 사용한다. 여기서는 TFTP를 제외한 FTP만 다룬다. 일반적으로 FTP 통신에서 명령 채널은 FTP서버 21번 포트를 사용하며, 파일 즉, 데이터 전송을 위한 데이터 채널은 동적 포트를 사용한다. 많이 알고 있는 것과 같이 데이터 채널은 20번 포트를 사용한다고 정의되어 있지만 실제적으로 FTP 패킷을 살펴 보면, 동적 포트가 사용되는 것을 알 수 있다. FTP연결은 TCP통신을 하기 때문에, 처음 3-way handshaking 과정을 거친 후 클라이언트가 명령어를 입력하면, 서버는 숫자 코드로 응답을 한다. 아래는 클라이언트 명령어와 서버 응답 코드의 일부 이다. 클라이언트 명령..

Analysis 2013.01.30

기본적인 TCP Packet 분석

TCP는 두 장치 간에 핸드셰이킹(Handshaking) 연결을 통해 연결 지향형 전송을 한다. 데이터가 제대로 목적지에 전송되었는지 확인하기 위해서 순서를 부여하고, 잃어버린 패킷에 대해 자동으로 복원을 한다. 대부분의 파일 전송 프로토콜은 데이터가 오류 없이 제대로 전송되었는지 확인하기 위해 TCP를 사용한다. 여기서는 TCP 패킷의 구조에 대해서만 언급 하겠다.[그림.1 TCP 헤더 구조] 1. Source Port / Destination Port출발지와 목적지의 서비스 포트 번호 할당된 포트 목록은 http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml에서 확인 할 수 있다. 2. Seque..

Analysis 2013.01.30

기본적인 DHCP Packet 분석

DHCP는 다양한 설정 옵션에 대한 비 연결형 서비스를 제공하기 위한 전송으로 UDP를 사용한다.DHCP 통신에서 사용되는 기본 포트는 68번과 67번을 사용한다. 68번은 클라이언트 프로세스가 사용하는 포트이며, 67번은서버 데몬이 사용하는 포트 이다. DHCP 패킷은 기본적으로 다음과 같이 구성되어 있다. 최초 DHCP 요청의 경우에는 위와 같은 형태로 전송이 되지만 이미 한번 받았던 DHCP IP가 존재할 경우에 클라이언트는DHCP Request 부터 시도를 하게 된다. 물론 서브 측 에서는 DHCP Request 요청이 들어와도 IP가 이미 사용 되고 있다면, DHCP NAK(Negative Acknowledgment) 패킷을 전송하여, 클라이언트로 하여금 재 시도를 하게끔 한다. [그림.2 실제..

Analysis 2013.01.30

기본적인 DNS Packet 분석

DNS는 UDP나 TCP를 통해 실행할 수 있으며, TCP를 이용하는 경우는 Zone 전달이나 큰 DNS 쿼리를 보낼 때 이용 하며, 일반적으로 UDP를 이용하는 DNS 쿼리/응답 패킷만 볼 수 있다. DNS 메시지의 형태는 기본적으로 다음과 같이 구성 되어 있으며, 생략되는 경우도 있다. Header Question Answer Authority Additional [그림.1 DNS 메시지 기본 형태] [그림.1DNS 메시지 기본 형태]에서 제일 위에 있는 Header부분을 살펴 보도록 하자. ID OR Opcode AA TC RD RA Z RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT [그림.2 DNS 헤더 구조] DNS Header는 총 12Byte로 이루어져 있며, 아래 [그..

Analysis 2013.01.30