ZyroidSE ZyroidSE Android Application Analyzer 라온시큐리티
Table of contents I. 회사소개 Ⅱ. Zyroid SE 소개 1. 일반현황및사업분야 4 1. 개발배경 7 2. 특장점 5 2. Zyroid SE 란? 8 3. Zyroid SE 특장점 9 4. 제품구성 10 5. 기능구성도 11 6. 산업군별적용대상 12 Ⅲ. Zyroid SE 상세기능 Ⅳ. Zyroid DE 소개 1. 편리한원격입력 14 1. Zyroid DE 특장점 24 2. 실시간데이터분석및조작 15 2. 서비스구성도 25 3. 편리한자동점검 16 3. 시스템구성도 26 4. 컴플라이언스 17 4. 업무흐름도 27 5. 악성앱점검기능 6. 난독화해제기능 18 19 Ⅴ. 취약점점검항목 7. 콜다이어그램제공 8. 사용자입력자동화 20 21 1. 점검항목리스트 29 9. 편리하고수준높은점검환경제공 22
I. 회사소개 1. 일반현황및사업분야 2. 특장점
1. 일반현황및사업분야 I. 회사소개 라온시큐리티는해킹기법연구를통해획득한기술을바탕으로보안솔루션개발및모의해킹컨설팅서비스를제공하고있는보안솔루션개발및컨설팅회사입니다. [ 일반정보 ] [ 사업분야및주요성과 ] 회사명주식회사라온시큐리티 대표이사양정규 솔루션 Android Application 점검도구 (Zyroid SE/DE) - SKT, SKP, KB손해보험, CJ올리브네트웍스납품 Android 악성행위모니터링시스템 (Zyroid Enterprise) - 삼성전자, KT 납품 KISA Android 악성행위모니터링시스템개발 사업분야모의해킹보안제품연구 / 개발 주소 서울시금천구가산동 543-1 대성 D-POLIS B 동 1108 호 연락처 02-861-9890 010-4177-1156 회사설립 년도 해당부문 사업기간 2012 년 3 월 14 일 2012 년 3 월 ~ 현재 컨설팅 SK Planet 모의해킹 삼성전자갤럭시S4 모의해킹 (2회수행, NDA체결 ) 온라인게임모의해킹 ( 다수 ) EBAY( 옥션, 지마켓 ) 모의해킹 LG U+ Fuzzing 대검찰청모의해킹 카카오앱모의해킹 삼성SDS 화이트해커해킹대회문제출제및운영 KISA 해킹방어대회문제출제및운영 (2006년 3회 ~ 2013년 10회 ) 총 8번운영 연구 Google Android 취약점발견 (2013) Android 악성행위모니터링시스템구축 - Hooking 기법연구 iphone Hooking 기법연구 - Kernel Hooking, Library Hooking, Application Hooking 기법연구 Page 4
2. 특장점 I. 회사소개 라온시큐리티는기술과고객과의신뢰를최우선으로생각하며운영하고있는회사입니다. 기존의많은모의 해킹수행이력과연구성과, 해킹대회입상경력등최고의기술력을확보하기위해최선을다하고있습니다. 다수의모의해킹수행경험보유 다수모의해킹수행인력보유 일반 / 금융 / 기관등다양한환경에서모의해킹수행 웹 / 데이터베이스 / 단말등다양한대상에대한모의해킹수행 세계해킹대회입상경력자보유 KISA 해킹방어대회 8년연속출제 / 운영 세계최고수준의 DEFCON 본선진출 4위 국내에서주최한국제해킹대회우승 최신해킹기법보유 금융권메모리해킹최초발견및보유 Mobile 해킹기법보유 APT 공격해킹기법보유 취약점 Exploit 제작기술보유 Mobile Zero Day 보유 ( 구글에보고 / 버그채택 ) 보안솔루션개발기술보유 웹애플리케이션취약점점검솔루션개발기술보유 Smart Phone Monitoring 시스템개발 모의해킹시필요도구개발기술보유 다양한개발언어숙련 Page 5
II. Zyroid SE 소개 1. 개발배경 2. Zyroid SE란? 3. Zyroid SE 특장점 4. 제품구성 5. 기능구성도 6. 산업군별적용대상
1. 개발배경 II. Zyroid SE 소개 모바일환경에서의해킹기술은진화하고있으나인적 ( 전문가 ), 물적자원의부족으로인한대응능력의한계와 다양한보안요구사항의수용능력의제한등은점검기준및절차의표준화가요구되고있으며 Zyroid SE 는기술적, 관리적 ( 컴플라이언스 ) 측면에서향상된보안점검을수행합니다. 보안이슈 점검이슈 해결책 모바일환경의해킹기법진화 난독화기술적용으로인한분석의어려움 난독화코드분석후신규위협 Pattern 도출 모바일앱증가 앱점검을위한전문인력부족 수동 / 자동화통한취약점점검효율화 취약점을이용한개인정보유출 취약점을이용한개인정보유출 분화된진단모듈을통한취약점상세점검 모바일앱보안에대한인식부족 앱점검항목표준체계미비 점검항목표준화를통한점검결과표준화 Page 7
2. Zyroid SE 란? II. Zyroid SE 소개 쉬운사용자입력 스마트폰과 PC 동기화후키보드와마우스로스마트폰조작 컴플라이언스충족 개인정보보호법정보통신망법전자거래기본법등 수준높은점검환경 정밀분석을위한다양한정보제공시스템이판단하기힘든항목점검가능 실시간데이타분석 점검자 PC 에서 APP 패킷의실시간분석및조작 난독화앱분석 난독화적용앱에대한분석및해제기능제공 편리한자동점검 점검을위한기본정보입력후원클릭자동점검 악성앱탐지가능 행위기반판단을통하여악성앱검증가능 콜다이어그램 강력한코드분석을위한콜다이어그램지원 Page 8
3. Zyroid SE 특장점 II. Zyroid SE 소개 실제단말기사용 안드로이드가상에뮬레이터가아닌실제단말기를사용 실제단말기로인증이필요한금융 APP 의동적분석지원 동적 Hooking 사용 Android Version 및단말기에독립적 Android 플랫폼소스및바이너리를수정없이분석가능 Proxy / Debugger 기능 호출되는 API 의입 / 출력값실시간분석 / 수정가능 진단 APP 의전반적인 API 호출흐름파악가능 표준화된점검가능 표준화된점검기준적용을통한분석결과의신뢰성향상 악성앱분석기능 사용자정보유출및권한상승등악의적인행동을하는악성 앱분석가능 Page 9
4. 제품구성 II. Zyroid SE 소개 본제품은점검용노트북, Zyroid SE, Nexus 단말기, USB Cable 로구성되어있습니다. Page 10
5. 기능구성도 II. Zyroid SE 소개 Zyroid SE 의주요기능구성은정적코드분석과동적분석그리고두기능을합친자동분석기능으로이루어지며, 이를통해점검시간및점검수준을높일수있습니다. 통신 점검자 리버스분석 로우레벨데이터분석 자동진단 분석보고서 Zyroid SE 모니터링 모듈탑재 Page 11
6. 산업군별적용대상 II. Zyroid SE 소개 Zyroid SE 는대부분의산업분야에서개발되는 Android 기반앱을대상으로점검이가능합니다. 산업분야 금융 제조게임전자상거래 이동통신 건설 자동차 공공 법적요건충족 정보통신망이용촉진및정보보호등에관한법률 주요법률 위치정보의보호및이용등에관한법률 신용정보의이용및보호에관한법률 개인정보보호법 전자금융거래법 Page 12
III. Zyroid SE 상세기능 1. 편리한원격입력 2. 실시간데이터분석및조작 3. 편리한자동점검 4. 컴플라이언스 5. 악성앱점검지원 6. 난독화해제지원 7. 콜다이어그램제공 8. 사용자입력자동화제공 9. 편리하고수준높은점검환경제공
1. 편리한원격입력 III. Zyroid SE 상세기능 PC 와동기화후 PC 스크린상에서키보드와마우스로스마트폰을조작가능 PC 의키보드와마우스로모든데이터를입력하여입력시간단축가능 점검자 PC Android 스마트폰 입력방식 PC 와스마트폰 Sync 키보드로데이터입력 실시간화면동기화 마우스로화면클릭 마우스로잠금해제 Page 14
2. 실시간데이터분석및조작 III. Zyroid SE 상세기능 Zyroid SE 를통해입력데이터를가로챈뒤실시간데이터조작가능 통신구간의 SSL 사용여부와상관없이모든데이터의평문확인가능 점검자 PC Android 스마트폰 서버 분석 실시간데이터조작 통신 Hybrid 앱 Native 앱 일반앱 모든데이터분석및조작 Page 15
3. 편리한자동점검 III. Zyroid SE 상세기능 기존의복잡한점검환경구성및분석업무가간단한정보입력만으로 Android 앱자동점검이가능하도록구현 되어있습니다. 기존점검자 Zyroid SE 점검자 점검환경 루팅 sign 코드분석 Jd-gui apktool DB Browser SDK Burp 루팅우회난독화분석우회동적디버깅 Manifast 분석 실행분석 패킷덤프파일덤프로그캣메모리덤프 OWASP 중요정보 Page 16
4. 컴플라이언스 III. Zyroid SE 상세기능 금융위금융안전대책이행체크리스트기준의표준화된점검가능 산업군 ( 공공, 금융, 통신, 제조등 ) 별보안요건을충족한점검가능 보안요건 ( 과제 ) 백신프로그램적용 입력정보보호대책적용 금융정보종단간암호화적용 폰임의개조탐지및차단 앱무결성검증 코드 ( 모듈 ) 보호 앱취약점 앱위. 변조모니터링 앱위. 변조로그기록 멀티로그인금지 금융거래기록정보보관 스마트폰에주요금융정보저장금지 컴플라이언스 정보통신망이용촉진및정보보호등에관한법률 ( 모든산업군 ) 위치정보의보호및이용등에관한법률 ( 이동통신사 ) 개인정보보호법 ( 개인정보의기술적. 관리적보호조치 ) 전자금융거래법 ( 스마트폰금융안전대책이행체크리스트 ) 법률요건충족 Page 17
5. 악성앱점검기능 III. Zyroid SE 상세기능 행위분석을통한악성앱점검지원 Zyroid SE 악성앱분석과정 분석가의판단과정 앱기능목록화 연락처권한 위치정보권한 SMS 정보권한 IMEI 권한 카메라권한 통화목록권한 디바이스어드민권한 등등.. 행위분석 연락처, 위치정보, SMS 정보, 단말정보 외부유출행위확인 사진정보, 인증서정보, SD 카드저장파일목록 파일수정및외부유출행위확인 디바이스어드민권한요청 악성앱탐지 앱고유기능확인 행위분석결과직접확인 판단 악성앱판단 Page 18
6. 난독화해제기능 III. Zyroid SE 상세기능 난독화코드해제를통한원본코드분석지원 난독화적용코드 원본코드 - Ê&ý ý ýþgý ª ek'«ü*' º%ler$2)âIÊÞe n$1;-> ü$1:- Ê&ý ý ýþgý ª ek'«ü*' º%ler$2)âIÊÞe n; Ê«- Þct p2, p0, - Ê&ý ý ýþgý ª ek'«ü*' º%ler$2)âIÊÞe n$1;->val$â)ýow:- ý ýÿý«>ên h dow; 난독화해제 Lcom/android/mediaplayer/Controller $MiniScreen$1;- >this$1:lcom/android/mediaplayer/c ontroller$miniscreen; iput-object p2, p0, Lcom/android/mediaplayer/Controller $MiniScreen$1;- >val$window:landroid/widget/popup Window; «nrn-¾ý.end «aod return-void.end method Page 19
7. 콜다이어그램 III. Zyroid SE 상세기능 점검자의쉬운앱로직분석을위한콜다이어그램기능제공 콜다이어그램분석 SMALI # direct methods.method constructor <init>(lcom/android/mediaplayer/controll er$miniscreen;landroid/widget/popupwin dow;)v.locals 0.parameter.parameter.prologue.line 1 iput-object p1, p0, Lcom/android/mediaplayer/Controller$Min iscreen$1;- >this$1:lcom/android/mediaplayer/contro ller$miniscreen; iput-object p2, p0, Lcom/android/mediaplayer/Controller$Min iscreen$1;- >val$window:landroid/widget/popupwind ow;.line 752 invoke-direct {p0}, Ljava/lang/Object;- ><init>()v return-void.end method Page 20
8. 사용자입력자동화 III. Zyroid SE 상세기능 동적분석에서사용자입력시퀀스를저장하여재사용 동일앱에대한분석에서단순반복작업을최소화 사용자입력 키보드로데이터입력 마우스로화면클릭 UI 출력변경탐지 사용자입력저장관리 Page 21
9. 편리하고수준높은점검환경 III. Zyroid SE 상세기능 기존의복잡한점검절차간소화 점검에필요한다양한정보제공 Zyroid SE 점검자 Zyroid SE 제공정보 편리해진점검환경 Intent 정보 Content Provider 정보 서버접속정보 무력화된난독화정보 USIM, 단말 ID 정보 편리한 Intent 조작점검가능 Content Provider Injection 점검가능 편리한서버점검환경제공 편리한난독화앱점검환경제공 편리한 USIM, 단말 ID 조작점검환경제공 Page 22
Ⅳ. Zyroid DE 소개 1. Zyroid DE 특장점 2. 시스템구성도
1. Zyroid DE 특장점 Ⅳ. Zyroid DE 소개 Zyroid SE 서버버전 Zyroid SE 를웹기반서비스형태로구축 사용자 PC 의제약없이중앙서버에접속하여점검작업 많은사용자동시접속 한번에많은사용자가 Zyroid DE 서버에접속하여작업 ( 서버에여러대의단말기를연결 ) APP 개발中상시점검 개발과정에서수시로 APP 보안점검하고, 점검내역관리 최종보안점검이전에기본보안요소를수시로 CHECK WEB 기반점검환경 사용자 PC 의웹브라우저에서원격의단말기에접속하여점검 HTML5 환경에서단말기화면을보며 GUI 를직접제어 원격점검상태관리 APP 점검작업의진행상태의확인및제어 웹을통하여 APP 점검결과및대응방법제공 Page 24
2. 시스템구성도 Ⅳ. Zyroid DE 소개 Zyroid DE 는서버에 APP 점검환경을미리구성하여, 점검자 PC 에프로그램설치없이 APP 보안점검을수행할수있습니다. 여러점검자 인터넷 분석보고서 Zyroid DE Page 25
3. 시스템 구성도 Ⅳ. Zyroid DE 소개 Zyroid DE는 서버에 연결된 실제 단말(Nexus5)의 APP 화면을 원격의 웹 브라우저(HTML5)를 통해서 직접 보고 제 어하며 동적 점검을 수행합니다. Zyroid DE 서버 웹 연동 서비스 사용자 로그인 (인증세션) 정적 점검 신청 (+APK 업로드) 점검 진행상태 (정적 점검 상태) 동적 점검 수행 (정적 결과 기반) 점검결과 조회 (+패치/소명 여부) 단말 원격UI - 동적 점검 지원 (사용자 중요정보 입력점검 등 ) 점검 세션관리 - 점검세션 관리 - 점검결과 관리 - 점검결과 조회 실제단말 (Nexus 5) ZyroidSE (Engine) 실제단말 (Nexus 5) 자가점검 페이지 - 정적 점검신청 - 점검 진행상태 - 동적 점검수행 - 점검결과 조회 Web-Interface 단말 상태관리 - 단말 모니터링 - 유휴 단말 할당 ZyroidSE (Engine) AVD 관리자 ZyroidSE (Engine) 가상단말 (AVD) ZyroidSE (Engine) 가상단말 (AVD) Page 26
4. 업무흐름도 Ⅳ. Zyroid DE 소개 다수의모바일 APP 보안분석자가시스템에업로드한 APK 파일에대한보안점 검을수행합니다. APK 업로드 진단대상이될 APP 을등록 합니다. APK 업로드 정적분석 동적분석 결과조회 중요정보입력사용자가 APP을실행하여중요정보를입력하고점검시작을요청합니다. 정적점검수행 APP 에대한정적점검을수 행하고결과를수집합니다. 동적점검수행사용자가입력한중요정보를기반으로동적점검을수행합니다. 보고서생성 APP 보안점검전체결과를생성하고보고합니다. Page 27
Ⅴ. 취약점점검항목 1. 점검항목리스트
1. 점검항목리스트 Ⅴ. 취약점점검항목 Zyroid SE 는취약점을 11 개로분류하여 42 개의취약점항목에대해점검이가능합니다. 취약점점검기준은 OWASP MOBILE TOP 10 과금융위의금융앱점검항목과더불어라온시큐리티의취약점점검노하우를통해점검항목을개발하였습니다. 순번분류점검항목 순번분류점검항목 1 중요정보노출 ( 앱, 설치파일, 화면, 로그등중요정보가저장되는모든곳점검 ) 12 개 7 취약한암호화방식사용 / 키노출 1 개 2 불필요한정보노출 ( 앱내불필요한정보및로그확인 ) 2 개 8 Server Side Injection (SQL injection 등 server 취약점 ) 2 개 3 악용가능성 ( 앱의도와다른악용가능여부확인 ) 2 개 9 서비스거부 1 개 4 악성코드및프로그램위 / 변조대응 ( 안드로이드보안솔루션적용여부 ) 4 개 10 기타정보 ( 취약점분석을위한활용정보 ) 5 개 5 중요정보암호화통신미흡 (SSL 취약점및적용여부 ) 2 개 11 수동점검기능 ( 함수입력값조작 ) 1 개 6 권한상승 / 권한도용 ( 명령실행등권한상승가능취약점확인 ) 10 개 11 개취약점분류, 42 개점검항목 Page 29
고객의정보보호를위한최고의파트너가되겠습니다. ( 주 ) 라온시큐리티 [TEL] 02-861-9890 [FAX] 02-861-9891 [URL] http://www.raonsecurity.com 서울금천구가산동 543-1 대성 D-POLIS B 동 1108 호