안드로이드 탐지 및 우회

안드로이드 모의 침투 테스팅 앱 ANDITER 소개

naroSEC 2023. 5. 21. 21:39

ANDITER 로고

ANDITER란?

ANDITER는 실제 안드로이드 앱에서 사용되는 보안 코드 탐지(루팅, 디버그, 무결성, 프리다 등) 방안을 배울 수 있고 또 공격자의 관점에서 이를 어떠한 방식을 통해 우회할 수 있는지 우회 기법을 학습할 수 있는 모바일 침투 테스팅 앱 입니다.

 

ANDITER 실제 실행 화면

러닝 코스

  • 루팅(Rooting)
    • Bypass Packages : 패키지 탐지 방식
    • Bypass Binaries : 바이너리 파일 탐지 방식
    • Bypass Command Execution : 명령어 실행 가능 여부 탐지 방식
    • Bypass Build-Tags : Build.prop[keys] 비정상 값 탐지 방식
    • Bypass Writeable : 특정 디렉터리 쓰기 가능 여부 탐지 방식
    • Bypass System Property : Build.prop[secure] 비정상 값 탐지 방식
    • Bypass Check Process : 프로세스 상태 탐지 방식
  • 디버깅(Debugging)
    • Bypass TracerPID : TracerPid 비정상 값 탐지 방식
    • Bypass Debuggable : Build.prop[debuggable] 비정상 값 탐지 방식
    • Bypass Debug Tools : 디버깅 도구 탐지 방식
    • Bypass Develop Mode : 개발자 모드 탐지 방식
    • Bypass Debuggging Mode : USB 디버깅 모드 탐지 방식
    • Bypass Connect USB : USB 연결 탐지 방식
  • 애뮬레이터(Emulator)
    • Bypass Build Setting : 애뮬레이터 Build 값 탐지 방식
    • Bypass Default Files : 애뮬레이터 전용 바이너리 파일 탐지 방식
    • Bypass Packages : 애뮬레이터 전용 패키지 탐지 방식
  • 프리다(Frida)
    • Bypass File & Path : 프리다 디폴트 파일, 디렉터리 탐지 방식
    • Bypass Port : 프리다 리스닝 포트 탐지 방식
    • Bypass Module : 모듈 탐지 방식
    • Bypass Pipe : 파이프 특정 문자열 탐지 방식
  • 피닝(Pinning)
    • Bypass Pinning(Root CA) : 디바이스 Root CA 인증서 탐지 방식
    • Bypass Pinning(Allow CA) : 고정 인증서 탐지 방식
  • 무결성(Integrity)
    • Bypass App Name : 앱 이름 변조 여부 탐지 방식
    • Bypass Hash Key : 사이니킹 변조 여부 탐지 방식
    • Bypass Installer : 마켓 출처 탐지 방식
    • Bypass CRC : Dex 파일 체크섬 변조 여부 탐지 방식
  • 동적 로딩(Dynamic Dex Load)
    • Bypass Dynamic Code : Dex 파일 동적 로딩 탐지 기법(파일 삭제X)
    • Bypass Hide Code : Dex 파일 동적 로딩 탐지 기법(로딩 후 파일 삭제)
  • 잠금화면
    • 비밀번호 : 잠금 비밀번호 우회 방법 학습
    • 패턴 : 잠금 패턴 우회 방법 학습
    • 지문 : 생체인증 방식의 잠금 우회 방법 학습
  • 네이티브 탐지
    • Bypass Native(Rooting-Files) : C/C++ 라이브러리 호출을 이용한 루팅 관련 패키지 및 바이너리 파일 탐지
    • Bypass Native(Rooting-Excution) : C/C++ 라이브러리 호출을 이용한 Which 명령어를 이용한 SU 바이너리 탐지
    • Bypass Native(Debug-Debuggable) : C/C++ 라이브러리 호출을 이용한 ro.debuggable 이상 값 탐지
    • Bypass Native(Debug-TracerPID) : C/C++ 라이브러리 호출을 이용한 TracerPid 이상 값 탐지
    • Bypass Native(Frida-Files) : C/C++ 라이브러리 호출을 이용한 Frida 관련 파일 탐지
    • Bypass Native(Frida-Port) : C/C++ 라이브러리 호출을 이용한 Frida 리스닝 포트 탐지

다운로드

https://github.com/naroSEC/Anditer

 

GitHub - naroSEC/Anditer

Contribute to naroSEC/Anditer development by creating an account on GitHub.

github.com