Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

|

Benzer bir sunumlar


... konulu sunumlar: "|"— Sunum transkripti:

1 |

2 Android üzerine Örnek Analizler (ZITMO ve SPITMO) Dinamik Analiz Statik Analiz | Zararlı Yazılımlar üzerine Sonuç

3 Ahlaklı KorsanMesai saatlerinde... Zararlı Yazılım AnalistiBo ş zamanlarımda... Python Programcısıhttp://www.mertsarica.com/?page_id=893 Blog Yazarıhttp://www.mertsarica.com Sertifika KolleksiyoncusuCISSP, SSCP, OSCP, OPST, CREA |

4 Finans sektörünün ihtiyaçlarına ve günün teknolojilerine uygun hizmetler sunan, ürünler meydana getiren, NBG Grup ş irketlerinden Finansbank’ın bir i ş tiraki olan IBTech firmasında bili ş im güvenli ğ i uzmanı (pentester) olarak çalı ş maktayım.

5 | Open Handset Alliance liderli ğ inde Google firması tarafından akıllı telefonlar ve tablet bilgisayarlar gibi mobil cihazlar için geli ş tirilmi ş linux tabanlı i ş letim sistemi olan Android i ş letim sistemi üzerinde zararlı yazılım analizi gerçekle ş tirme

6 Açık kaynak kodlu ve ücretsiz (http://source.android.com) Geli ş mi ş & ücretsiz yazılım geli ş tirme ortamı (SDK, NDK) Birçok yerde kullanılıyor (Telefonlar, Arabalar, Tabletler vs.) Linux tabanlı Açık market |

7

8

9

10 İş için kullanılan akıllı telefon ve tablet oranı: %76 Temmuz 2011 – Kasım 2011 zararlı yazılım artı ş oranı: %472 Platforma göre zararlı yazılım: Android(%43), IOS(%28), RIM (%18) 2009–2010 akıllı telefonları hedef alan zararlı yazılım artı ş oranı: %250 | Android zararlı yazılımlarının %55’i casus yazılım, %44’ü ise SMS truva atı

11 |

12 Linux Güvenlik Modeli baz alınmı ş tır. (UID/GUID) Kurulum için uygulamanın sertifika ile imzalanmı ş olması gerekmektedir. İ zinler, AndroidManifest.xml dosyasında tanımlanmaktadır. Uygulama bazlı izinler kullanılmaktadır. Her bir uygulama farklı bir Dalvik Sanal Makinesi içinde çalı ş maktadır. | Sistem güvenli ğ inde kullanıcı kilit rol oynamaktadır.

13 Uzaktan kurulum ile (Google hesabı yeterli) Market üzerinden yüklenerek | Android SDK ile sistem üzerinden yüklenerek Internet üzerinden indirilerek (Web sayfası, E-posta, QR kodu, vs.)

14 Statik AnalizDinamik Analiz |

15 Statik Analiz |

16 Android application package file (APK) dosyası, zip dosya formatına sahip.apk uzantılı dosyalardır. | APK dosyası, uzantısı.zip olarak de ğ i ş tirildikten sonra Winzip, Winrar gibi araçlar ile açılabilir.

17 META-INF klasöründe MANIFEST dosyası, uygulamanın sertifikası ve dosyaların SHA-1 hash bilgileri yer almaktadır. | res klasöründe resources.arsc dosyasında yer almayan ses dosyaları, grafik dosyaları vb. dosyalar bulunur. Android Manifest dosyasında uygulama izinleri, paket adı, sürümü vb. bilgiler yer alır. Classes.dex dosyası Dalvik sanal makinesi tarafından çalı ş tırılabilen derlenmi ş sınıfları içerir.

18 Dalvik sanal makinesinde çalı ş tırılabilen derlenmi ş Android uygulamasıdır. | Dex dosyasını class dosyasına çevirebilirsek kaynak koduna da çevirebiliriz. Komut: d2j-dex2jar.bat classes.dex URL:

19 İ zinler, AndroidManifest.xml dosyasında tanımlanmaktadır. |

20 AndroidManifest.xml dosyası AXMLPrinter2.jar aracı ile okunabilir. | Komut: java -jar AXMLPrinter2.jar AndroidManifest.xml URL:

21 Dex2jar aracı ile class dosyasına dönü ş türülmi ş olan Android uygulaması, JD-GUI aracı ile kaynak koduna (decompile) geri çevrilebilir. | Kaynak koduna geri çeviren araçlar kimi zaman hatalı sonuçlar üretebilirler bu nedenle uygulamayı tersine çevirmek (disassembling) gerekebilir. URL:

22 |

23 Kaynak koduna çevirmenin yeterli/ ba ş arılı olmadı ğ ı durumlarda dex dosyası tersine çevrilerek (disassembling) analiz edilebilir. | Komut: java -jar apktool.jar d BloodvsZombie_com.gamelio.DrawSlasher_1_1.0.1.apk URL:

24 |

25 IDA Pro v | APKInspector Dexdump Smali Androguard

26 Dinamik Analiz |

27 Android Software Development Kit (SDK), uygulama geli ş tirmek için kullanılan ve içinde birçok aracı bulunduran bir araç takımıdır. | Hata ayıklayıcı (debugger) Öykünücü (emulator) Kütüphaneler API belgeleri, örnek kaynak kodları, özel dersler (tutorial) vs. URL:

28 |

29 Droidbox, Android uygulamalarını dinamik olarak analiz etmek için geli ş tirilmi ş bir kum havuzu aracıdır. | Gelen/giden a ğ verileri takibi Dosya okuma/yazma takibi Giden SMS ve arama takibi Ş ifreleme i ş lemlerinin takibi URL:

30 |

31 Spyeye Mobil Analizi |

32 Spyeye In the Mobile (SPITMO), SpyEye bankacılık truva atının Android platformu üzerinde çalı ş an bir varyantıdır. | Amacı bankacılık i ş lemini gerçekle ş tirmek için kullanıcıya gönderilen SMS OTP’yi çalmak ve komuta merkezine iletmektir. Kullanıcı, cep telefonuna SMS gelmesi durumunda herhangi bir uyarı almamaktadır. GET /sms/gate.php?sender=gönderen&receiver=alıcı&text=Deneme

33 |

34

35

36

37

38

39 Zeus Mobil Analizi |

40 Zeus In the Mobile (ZITMO), Zeus bankacılık truva atının Android platformu üzerinde çalı ş an bir varyantıdır. | Amacı bankacılık i ş lemini gerçekle ş tirmek için kullanıcıya gönderilen SMS OTP’yi çalmak ve komuta merkezine iletmektir. Trusteer Rapport uygulaması olarak kendini gizlemektedir. POST -> SMS

41 |

42

43

44

45

46 Google Bouncer ile Android Market artık daha güvenli ancak rakiplerinin gerçekle ş tirdi ğ i kontroller kadar etkili de ğ il. | Android’in uygulama bazlı izinleri, kullanıcının zararlı yazılımı tespit etmesini kolayla ş tırıyor ancak yeterli de ğ il. Android’in uygulama yükleme kanalları zararlı yazılım istismarına daha açık. Güvenli ğ iniz için mutlaka ama mutlaka güvenlik uygulaması kullanın.

47 |

48


"|" indir ppt

Benzer bir sunumlar


Google Reklamları