16년 02월 15일
오늘 오전부터 cuckoo sandbox 2.0 에서 안드로이드 자동 분석 파트 구축을 진행했다. 구정 내내 이거로 시름좀 하다가 (사실 전붙일라, 사촌 동생과 놀아주랴, 가족모임하랴 어중이 떠중이로 봤지만..) 오늘 제대로 문서화하면서 살펴봤다. 그 결과 다음과 같은 문제가 발생했다.
디폴트 설정시 안드로이드 아이피 인식 불가로 오류 발생 > adb shell ifconfig eth0 명령으로 아아피 확인 > 최신버전 기본 아이피가 10.0.2.15로 변경됨 (아마도)
분석 결과를 출력하는 django에서 안드로이드 앱이 호출하는 아이피 필터링 오류 > moloch 쪽에서 결과 파싱하는 과정에서 발생 > 수정하기 힘듦 (패치까지 기다려야함)
안드로이드 분석이 무조건 타임아웃 (크리티컬)로 종료되어 제대로된 분석 결과를 받기 어려움 > 패치까지 기다려야함
하나 해결하니 다른 부분에서 오류가 발생하여 귀찮아졌다. 무엇보다 샌드박스 제어과정에서 안드로이드 모드로 바꾸면 윈도우 바이너리 분석이 되지 않는 문제가 있다. 시스템을 운영하는데 있어 상황에따라 운영중인 프로세스를 종료하고, 설정을 바꾼 후 다시 가동시키는건 좋은 판단은 아닌것으로 생각한다.
그래서 안드로이드쪽 분석은 쿠쿠 샌드박스가 아닌 다른 도구를 쓰는 것이 좋아 보인다. 그래서 선택한 도구는 MobSF다.
https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
설치도 간단하고, 안드로이드 제어를 위한 가상 이미지도 제공을 한다. 테스트는 안해봤지만, 맥에서는 아이폰 앱도 분석을 할 수 있다고 한다. 그래서 그냥 서로 다른 웹 프레임워크를 띄우더라도 이렇게 구성하여 가용성을 높이는 것이 좋은 것 같다. 내일 오전 중으로 안드로이드 이미지 셋팅을 끝내고 결과 보고 나오는 걸 보고 연구 보고서를 쓰고 마무리 지어야 겠다.
나중에 시간되면 쿠쿠 샌드박스 네트워크 분석 도구(Snort, Suricata, Moloch) 셋팅, MiTMProxy으로 https 통신 스니핑 또는 VPN 구성 중 하나를 골라서 해봐야겠다.