오늘의 연구 일지 07

16년 02월 16일

쿠쿠 샌드박스 안드로이드 분석 버전을 구축하고 어찌어찌 잘 셋팅하여 최종적으로 레포트를 받아야하는데, 레포트 받는데서 에러가발생했다. 에러 발생 원인은 IPv6를 처리하지 못한 에러. 이 부분을 소스코드에서 수정하기 버거울것 같아서 쿠쿠 개발팀에 이슈로 제기하여 하루만에 패치가 이루어졌다.

https://github.com/cuckoosandbox/cuckoo/issues/767

Error during template rendering for android analysis · Issue #767 · cuckoosandbox/cuckoo

이제 최종적으로 결과를 받아보았는데 동적 분석 결과도 받아 볼 수 없고, 그나마 출력되는 데이터 또한 체계적이지 못할 뿐더러 메모리 분석과 같이 기존에 템플릿의 변경조차 일어나지 않는다. 도저히 쓸만하지 못한것 같다.

안드로이드 분석 결과

나중에 쿠쿠 1.2로 버전을 내리고 Cuckoo Droid 오리지널 버전으로 셋팅해보는게 더 나을 듯 싶다.

---

Mobile Security Framwork 즉 MobSF는 모바일 자동 분석 시스템이다. 이번 쿠쿠 안드로이드 버전을 구축하는데 너무 고생해서 이걸 선택했으나, 많은 시간을 소비하게된 사건이 발생했다. 이 도구를 리눅스(우분투)에서 구축하려면 32비트 시스템으로 구축해야만 한다는 사실이다. 늘 그랬듯 64비트에서 구축하다가 암걸릴뻔 했다. 결과적으로 32비트에서 잘 구축해서 잘동작하고 있다.

버추얼박스로 구현된 안드로이드 에뮬레이터

MobSF 대시보드

활동적인 안드로이드 악성코드를 샘플로 사용하지 못해 동적분석에서 일부 마음에 들지 않지만 충분히 좋아 보인다. 비전도 있어보이고. 하나 아쉬운건 이전에 분석한 결과 리스트를 볼 수 있는 페이지가 어디에 있는지 도무지 찾아도 안나온다. 짜증난다.

---

오늘 마지막으로 구축한 도구는 CVE-Search이다. CVE 코드 및 관련된 다양한 정보들을 약 12군데의 데이터베이스에 가지고 와서 통합 DB를 생성하여 사용자에게 출력해준다. 구축하는것은 어렵지 않았으나, 데이터베이스를 받아와서 첫 동기화하는데 암걸릴뻔했다. 얼마나 오랜시간이 걸리던지..

CVE-Search 에서 검색한 CVE-2012-1889

한가지 포인트로 잡고 싶은 것은 카테고리 및 요약 부분을 한글화하여 정보 공유 시스템의 한 장르로 자리매김해도 괜찮아 보일 정도다. 근데 Modified MIT 라이선스는 어떤 제약조건을 가지고 있는지 파악되지 않는다. 그냥 MIT 라이선스면 당장에라도 수정하고 도메인 할당한 후 공개할 수 있는데. 2만개 가까이 되는 취약점의 요약 부분 번역은 하루에 하나씩 밑에 친구와 최신 취약점 순서대로 진행하면 언젠간 되겠지. 우공이 산을 옮긴 것 처럼.

---

혹시나 쿠쿠 안드로이드도 32비트 운영체제여야만 하는 걸까 싶어 32비트 우분투에 처음부터 새로이 구축해보았으나 삽질로 끝났다. 덕분에 2시에 자려고 했는데 지금 3시 30분이다. 하..