Wireshark分析手機軟體之網路封包
首先針對行動惡意軟體的行為分析與偵測相關文獻進行研究;接著架設一組無線網路做為監測實驗網路,設定被監測的目標手機其所有上網行為均需透由此無線網路連上網際網路,並採用非侵入式(不侵犯個人隱私資訊)的檢測方式來進行網路封包側錄及分析其網路行為模式。
發現追查到的惡意軟體回傳主機,很多是廣告網站或者有些是無效的網站,有可能是惡意軟體測試樣本已被揭露,故駭客將連結的網址更改,或者是該廣告網站已遭駭客控制,做為掩護之用。
智慧型手機感染了惡意程式, 在連網行為上會有主動對外連線、將手機上IMEI、GPS、通訊紀錄等相關資訊傳透過HTTP-POST 或HTTP-GET 送至第三方等網路異常行為特徵。
研究學者
|
偵測類型
|
網路異常行為特徵
|
Yin&Song(2007)
|
多種不同型態惡意程式碼
(鍵盤側錄、密碼竊取、網路監控、後門程式、間諜程式及ROOTKIT)
|
1.異常的資訊存取行為
2.過度的資訊存取行為
3.異常的資訊洩漏行為:透過網路將敏感資料洩漏給第三方
|
曾聖嘉(2010)
|
Android 後門程式
|
應用程式常會使用Http-Post 類別進行資料傳遞
|
黃能富(2011)
|
類HTTP 之Botnet
|
HTTP 是網路流量的大宗,許多殭屍網路也是經由偽裝或是使用HTTP-GET 進行通訊以逃避偵測。
|
林愷庭(2011)
|
Android 後門程式 --DroidDream
|
惡意程式會竊取手機的相關資料(如IME I、IMSI、Device
Model 等),回傳到指定的主機,並自動下載安裝特定程式以持續接受攻擊者的控制。
|
劉恩榜(2012)
|
Android 的Botnet
|
大部分的網路連線都是由手機向外連出為主,如有inbound 的流量,可能是攻擊者正在下達指令。
|
(1)雲端資料櫃
使用雲端資料櫃之帳號密碼登入App後,將擷取的封包cloudbox.paap以Wireshark進行分析並於Filter輸入"tcp.port == 80"抓取HTTP封包。
以雲端資料櫃的登入帳號密碼之英文代稱「id」與「pwd」搜尋,在封包No.17中出現uid=kevin9865&pw=r654987210兩組關鍵結果,正是此組雲端資料櫃帳戶之帳號密碼。
上傳今年跨年的煙火照片,結果在封包No.4073 出現關鍵訊息
filename=2017%E8%B7%A8%E5%B9%B4101.JPG,以及Request URI: /_api/
putFile.php?auth_key=77b28a9d7c8d27eba21826030d33ceef&checksum=9c4
20310facae579c316521d17f5fb0a&api_key=115a2eb3eb311bf6c2ce130e6794
ec84&api_otp=a0e4a8937253d23520b6c58e88dd0d48&filename=2017%E8%
B7%A8%E5%B9%B4101.JPG
使用網頁解碼器(http://www.convertstring.com/zh_TW/EncodeDecode/UrlDecode)進行解碼,編碼「2017%E8%B7%A8%E5%B9%B4101.JPG」,解碼出來的結果為「2017 跨年101.JPG」,正是用雲端硬碟所上傳之照片檔。
CloudBox可以容易分析出帳號、密碼的明文訊息及使用者上傳檔案、下載檔案的資訊,雖然因為雲端的興起發展出了雲端硬碟供使用者存放檔案資料,但是其便利的同時也面臨了各種資安威脅。
(2)Diamonds Blaze
使用雲端資料櫃之帳號密碼登入App後,將擷取的封包cloudbox.paap以Wireshark進行分析並於Filter輸入"tcp.port == 80"抓取HTTP封包。
以雲端資料櫃的登入帳號密碼之英文代稱「id」與「pwd」搜尋,在封包No.17中出現uid=kevin9865&pw=r654987210兩組關鍵結果,正是此組雲端資料櫃帳戶之帳號密碼。
上傳今年跨年的煙火照片,結果在封包No.4073 出現關鍵訊息
filename=2017%E8%B7%A8%E5%B9%B4101.JPG,以及Request URI: /_api/
putFile.php?auth_key=77b28a9d7c8d27eba21826030d33ceef&checksum=9c4
20310facae579c316521d17f5fb0a&api_key=115a2eb3eb311bf6c2ce130e6794
ec84&api_otp=a0e4a8937253d23520b6c58e88dd0d48&filename=2017%E8%
B7%A8%E5%B9%B4101.JPG
使用網頁解碼器(http://www.convertstring.com/zh_TW/EncodeDecode/UrlDecode)進行解碼,編碼「2017%E8%B7%A8%E5%B9%B4101.JPG」,解碼出來的結果為「2017 跨年101.JPG」,正是用雲端硬碟所上傳之照片檔。
CloudBox可以容易分析出帳號、密碼的明文訊息及使用者上傳檔案、下載檔案的資訊,雖然因為雲端的興起發展出了雲端硬碟供使用者存放檔案資料,但是其便利的同時也面臨了各種資安威脅。
(2)Diamonds Blaze
未偵測到病毒資訊,安裝完成” Diamonds Blaze”遊戲軟體的手機畫面及可存取手機的權限。
安裝完成Diamonds Blaze的手機畫面
Diamonds Blaze”的PERMISSION
畫面
以"ip.addr == 192.168.99.153 and http
and tcp.port == 80"過濾出該軟體使用HTTP-GET 或HTTP-POST與6台主機進行資訊傳遞(IP分為23.21.112.37、85.195.69.168、216.74.41.14、74.125.31.138、74.117.179.33、78.140.147.80)。
Wireshark 分析Diamonds
Blaze連網封包畫面
最後總計完成9種惡意軟體、8種正版合法軟體及4 種網路下載軟體的網路連線行為封包比對分析,完整記錄於手機惡意軟體網路異常行為封包檢測結果表。
備註:
GET方法傳送的值藉由GET請求URL發送,簡單來說GET是把資料放在header進行傳送,使用GET方式傳遞的話,並不適合傳送些隱密性較高的資料(例如:Password),因為在傳送的過程中就會顯示在網址列上。且GET的請求會被Cache紀錄、GET的請求受限於 QueryString 長度限制(依瀏覽器規定),因此GET的使用時機應為檢視資料時使用。
POST方法傳送的值藉由POST請求HTTP發送,簡單來說POST是把資料放在訊息主體內進行傳送。而POST的請求不會被Cache紀錄、POST的請求對資料長度沒有限制,因此POST比GET更安全,所以較適合用來傳送隱密性較高的資料。
(3)Angry
Bird
以wireshark 封包分析軟體側錄到的封包中,使用” http and tcp.port == 80 ”這個指令過濾出其對外連線的封包,然後找出藉由GET 或POST 方法進行資料傳送的第三方主機,發現到有2 個可疑主機(IP 為216.74.41.14 及72.14.203.155) 。
先針對IP 為216.74.41.14(data.flurry.com)的主機查證其合理性,發現有將手機裝置上相關資訊傳送至該網址,該網址屬於美國的一家網路媒體公司,但無法瀏覽,符合異常網路行為觀察指標。
針對IP 為72.14.203.155的主機查證其合理性,該網址屬於Google 公司所有,會從該網址下載一個廣告的 Java Script,至於是否為有害程式,因程式碼檢測不是本文研究重點,故僅能列為可疑行為。
(2) 東森新聞雲應用軟體:
以" tcp.port == 80"過濾出與該主機的所有連線封包資訊,進一步以" Follow Tcp Stream"找出該主機將手機內相關資訊打包編號存成gif 檔後回傳至該主機,相當可疑。
表1 手機惡意軟體網路異常行為檢測結果
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
發現追查到的惡意軟體回傳主機,很多是廣告網站或者有些是無效的網站,有可能是惡意軟體測試樣本已被揭露,故駭客將連結的網址更改,或者是該廣告網站已遭駭客控制,做為掩護之用。
我們也將所有受測的樣本軟體其存取權限 (Permission),記錄下來,並參考Felt 等(2011)研究,大部分的行動惡意軟體會同時使用SMS 和READ_PHONE_S TATE (可讀取IMEI)的Permission,可以做為辨別惡意軟體的參考特徵,與本實驗結果相對照,發現應用軟體的特定Permission 組合及數量的多寡與其是否為惡意程式並非正相關。
表2
手機軟體異常行為檢測與掃毒軟體結果及PERRMISSION比較表
|
|||||||||
測試項目
測試樣本
|
檢測結果
|
掃毒軟體
|
PERRMISSION
|
||||||
正常
|
惡意
|
可疑
|
Avast
|
網路
|
位置
|
個資
|
通訊
|
硬體
|
|
Angry Bird
|
★
|
★
|
★
|
★
|
★
|
★
|
★
|
||
Piggy Jump
|
★
|
★
|
★
|
★
|
★
|
★
|
|||
Tiny Puzzle
|
★
|
★
|
★
|
★
|
★
|
||||
Ninja Hook
|
★
|
★
|
★
|
★
|
★
|
★
|
|||
Media player
|
★
|
★
|
★
|
★
|
★
|
★
|
★
|
||
生活行
★
|
★
|
★
|
★
|
★
|
|||||
台中警政
★
|
★
|
★
|
★
|
★
|
|||||
停車大聲公
★
|
★
|
★
|
★
|
★
|
★
|
||||
台中等公車
★
|
★
|
★
|
★
|
★
|
★
|
||||
雙鐵時刻表
★
|
★
|
★
|
★
|
★
|
★
|
||||
KKBOX
★
|
★
|
★
|
★
|
★
|
|||||
Who’s
call
★
|
★
|
★
|
★
|
★
|
★
|
★
|
|||
東森新聞雲
|
★
|
★
|
★
|
★
|
★
|
★
|
|||
雲端資料櫃
|
★
|
★
|
★
|
★
|
★
|
||||
Garena競時通
|
★
|
★
|
★
|
★
|
|||||
Diamonds Blaze
|
★
|
★
|
★
|
★
|
★
|
★
|
|||
雲端資料櫃
|
★
|
★
|
★
|
★
|
★
|
||||
留言
張貼留言