들어가기 앞서 Digital Forensics Challenge(이하 DFC) 대회는 한국에서 열리는 몇 없는 디지털 포렌식 대회로 2018년부터 지금까지 매년 대회가 진행되고 있다. 올해에도 2023.05.01 ~ 2023.09.30까지 대회가 진행되었으며, 예전에는 디스크, 네트워크 포렌식 등의 문제가 주를 이루었다면, 근래 들어서는 모바일 문제도 조금씩 출제되고 있는 추세이다. 이번 포스팅에서는 DFC 2023 대회에서 출제되었던 301번 모바일 포렌식 관련 문제에 대한 Write Up을 작성하고자 한다. Digital Forensics ChallengeDigital Forensics Challenge Digital Forensics Challenge hosted by Korea Institute ..

개요smali 코드는 안드로이드 애플리케이션의 Dalvik 가상 머신 코드를 표현한 언어이다. Dalvik VM은 안드로이드 앱의 실행을 위한 가상 머신이며(지금은 ART를 사용한다.), smali는 이 VM에서 동작하는 바이트 코드를 사람이 읽기 쉽고 이해하기 쉬운 형태로 변환하여 나타낸다. 즉, Smali는 Dalvik VM이나 ART(안드로이드 런타임)에서 동작하는 바이트 코드의 어셈블리어로 Java 코드(Java 실행 코드가 들어있는 Dex)를 디컴파일한 결과물이다. 따라서, 안드로이드 앱을 대상으로 내부 동작 조작을 위한 소스코드를 변조할 때 Java 코드를 디컴파일한 산출물인 smali 코드를 수정하게 되며, 이러한 일련의 과정을 "리패키징"이라고 한다. 이번 포스팅에서는 smali 코드 분석..

개요 안드로이드 앱 진단 시 루팅, 무결성, 디버깅 등과 같은 보안 위협에 탐지될 때, 별도의 우회 과정 없이 ADB를 이용하여 액티비티를 강제 실행함으로써, 탐지 프로세스가 무력화되는 경우가 종종 있다. 실제 필자가 진단 했던 A사의 앱의 경우에는 루팅 디바이스로 탐지될 경우 팝업을 사용자에게 표시하고 출력된 팝업 내에 "확인" 버튼을 클릭하면 앱 종료 프로세스가 동작하는 방식이었다. 그런데 여기서 "확인" 버튼을 누르지 않고 메인 화면에 해당하는 액티비티를 호출하면 앱이 종료되지 않고 정상 이용이 가능했다. 물론, 보안이 잘되어 있는 곳은 탐지 후 일정 시간이 지난 후에 앱이 자동으로 종료되게끔 설정한다. 하지만, 그러지 않은 곳은 간단한 조작을 통해 보안 탐지 프로세스를 무력화 시킬 수 있기 때문에..

개요 모바일 디바이스에서 Burp Suite를 사용하기 위해서는 Proxy 서버 인증서를 디바이스에 설치해야 하며, 인증서를 설치하지 않고 네트워크 통신 시 높은 확률로 SSL/TLS 관련 오류가 발생하게 된다. PC 단에서는 인증서를 설치하지 않고 Burp Suite를 사용해도 큰 문제가 없지만 모바일 앱의 경우는 다르다. 일반적으로 앱에서는 API 서버와 통신을 시도할 때 okhttp3 모듈을 사용한다. 해당 모듈의 경우 내부 코드에서 자체적으로 인증서 체인 검증을 진행하며 이때, 검증 체인 키 값을 디바이스에 설치된 Root CA에서 가지고 온다. 그리고 인증 키가 존재하지 않는다면 통신에 실패하게 된다. 따라서, Burp Suite를 이용할 때 해당 Proxy 서버의 인증서(PostSwigger)..