移動應用程序檢測與鑒識

移動應用程序檢測與鑒識大綱電信面對現有資安問題之作為移動資安威脅介紹電信移動資安規劃app鑒識V.S.

app檢測app惡意程序分析App程序安全檢測結語問題討論(Q&A)資安問題怎么防?所有資安資產盤點了嗎?未納管的Internet出入口，如何整合、管制?多類的Log儲存，怎么做?花不起Logger/SIEM，中小企業怎么辦?PT/VA/源碼檢測，做到位嗎?企業沒有資安專責人員，怎么辦?APT攻擊頻繁，怎么辦?企業被DDoS翻了，怎么辦?資安事件處理、通報，做到位了嗎?防毒軟件防不了駭，怎么辦?未收集的AP/DBLog如何補救?事前事中事后LOG來源資安網絡設備APT防護威脅風險事件防毒軟件資源管理系統IPS防護AP/DBLog資安事件LogSMARTSOCSIEM通報回覆簽核CORRELATIONOS

LogISTMS移動裝置應用資料外泄管控困難PonemonInstitute的網絡調查發現51%企業組織因移動裝置造成資料外泄，59%員工回避安全管控Checkpoint2013年的報告指出93%的企業可支援員工透過移動裝置連入內部網站，但在過去一年間，79%的企業曾遭遇移動安全事件。

Fortinet公布2013全年的網絡威脅報告。報告中指出96.5%移動惡意軟件鎖定Android平臺趨勢科于4月公布，惡意app程序突破200萬支大關，是半年前數量的2倍！移動裝置惡意程序泛濫知名app在近年來都被發現過嚴重漏洞移動應用程序普遍存在安全漏洞HP研究發現10個app中9個存在安全漏洞201220132013201420142014移動資安威脅小結機敏資料外洩

管控困難行動裝置儲雖便利卻容易遺失造成資料外洩。行動裝置以3/4g網路連上Internet，透過e-mail或網路空間傳遞私密資料，難以管理監控。惡意程式氾濫Android程式上架未經嚴格審查，惡意程式可魚目混珠。攻擊者透過詐騙簡訊或是釣魚連結欺騙使用者安裝惡意程式。程式安全漏洞應用程式隱含安全漏洞，造成用戶隱私財產損失電信移動資安規劃Internet企業內部移動裝置OSS虛擬手機應用程序管理2移動裝置企業app應用安全4虛擬手機應用程序管理(VMAM)企業app安全檢測服務移動裝置安全管理1移動裝置安全管理(MDM)3移動裝置鑒識移動裝置鑒識服務app惡意程序分析V.S.app程序安全檢測移動惡意程序分析app程序安全檢測app靜態分析惡意程序分析與程序安全檢測共通項目Manifest/plist分析:Manifestparser,plisteditor執行檔反組譯:clutch,IDAPro,dex2jar,apktool目錄結構與檔案分析:DDMS,Itools,ifile通用存取工具:sshd,Putty,FTPclient惡意程序分析app仿冒檢查引用API檢查關鍵字字符串檢查程序安全檢測SQLite內容檢查app動態分析共通項目流量側錄與分析:burpsuit,wireshark,MalloryVM檔案讀寫監控:droidbox,snoop-it簡訊寄送監控:droidbox程序安全檢測SSL憑證錯誤處理檢查后端服務器攻擊測試:pentestskills存儲器竄改與動態調試:cycript,gdb,class-dump-z,adb加密方法強度分析Binary防護分析惡意程序分析惡意中繼站檢查移動惡意程序分析移動惡意程序分析研究研究方法針對公司內資安事件或是外部機關企業主動提供之樣本進行分析研究目的規納整理惡意程序行為特征針對惡意行為制訂防御與補償措施建立惡意程序分群與偵測規則以下針對詐騙類型的樣本進行探討evilapp手機詐騙攻擊情境CloudSpaceC&CServervictimvictims小額付款StoreevilSMSpersonalinfoForgePurchaseIntercept&ForgereplySpraytoothervictimsevilappVerifyCodeevilapp惡意程序綜合分析：使用權限36只詐騙惡意程序最常使用的權限依序是允許程式監控即將收到的簡訊:36次允許程序發送簡訊(不需使用者介入):36次允許程序使用網絡權限:35次允許程序讀取使用者聯絡人資料:35次允許程序取得您的電話號碼、用戶識別：35次允許程序開機時自動啟動：34次允許程序讀取簡訊：29次允許程序撰寫簡訊：29次允許程序取得網絡狀態：22次允許程序不需透過使用者界面確認即可撥號：22次惡意程序綜合分析：使用API36只詐騙惡意程序最常使用的API依序是取得簡訊管理者的實例：34次傳送SMS簡訊：34次執行預設的HttpClient：31次取得裝置唯一值：29次取得網絡連線狀態：22次取得SIM卡序號：21次取得目前使用網絡狀態：21次取得電源管理信息：21次判斷目前使用的網絡是否計量：20次取得手機號碼：16次惡意程序綜合分析：惡意連線網址幾乎所有惡意網址的IP都在境外手機惡意程序檢測系統(實驗階段)利用現有分析結果建立檢測與分群關聯規則允許的權限使用的API中繼站Domain/IP字符串特征此檢測方式的優缺點評估優點：分析快速可偵測行為類似之惡意程序變種彌補動態分析的不足:耗時、模擬器偵測類型惡意程序,時間邏輯炸彈缺點：誤判率(falsepositive)程序碼混淆技術影響分析防分析機制：模擬器偵測防分析機制：程序碼加殼防分析機制：程序碼混淆app安全檢測OWASPMobileProjectOWASPMobileTop10risksapp惡意程序分析App檢測盤根錯節app安全檢測app檢測流程資料夾內容比對保留app安裝后初始資料夾狀態在檢測平臺執行以半自動化腳本進行靜態分析封包測錄服務器自動化掃描工具App行為監控App執行后狀態資料匯整人工動態測試產出報告

app傳送UDIDorIMEIUDID:

SHA1(SerialNumber+ECID+WiFiAddress+BluetoothAddress)IMEI:手機識別碼屬于用戶個人隱私資料，不建議送到遠端保存UDID,IMEI皆可假造，不應做為身分識別之依據app服務器端注入漏洞約有12%app存在SQLi漏洞，尤其在新聞、生活購物與影視類別居多XXEinjection漏洞比想象中少setShouldResolveExternalEntitiesdefaultNOinNSXMLParserNSXMLNodeLoadExternalEntitiesNeverinNSXMLDocumentLibxml2.9預設disable使用無法根治的防御方式僅在使用者界面做輸入檢查，忽略服務器端的防御利用把參數hash做成token來防封包竄改未利用Session進行身分控管修改封包內容并發送，可以偽造任意使用者ID贈送自己折價卷。應利用session檢查使用者身分是否具有足夠的執行權限。SSL憑證錯誤處理憑證錯誤可能性有自簽憑證、憑證過期手機支援度不足Maninthemiddle多數開發者直接忽略憑證錯誤挑選40只金融、購物等須會員登入功能的app進行測試3家未使用https保護12家出現憑證錯誤后繼續連線25家出現憑證錯誤后停止連線約37.5%的app存在信息泄漏風險裝置端檔案竄改儲值、金流相關資料不應儲存于裝置端須存在本機端的機敏資料、賬號密碼、應用程序權限設定建議經過加密或是雜湊儲存，提高分析的難度含機敏資料的檔案存入SD卡須經過加密處理(Android)

程序內建一些合理值的檢查機制能有效防御作弊竄改裝置端存儲器動態調試Afterjb->Clutch->class-dump-z->IDApro->cycript,gdb