- PVSM.RU - https://www.pvsm.ru -
Уже больше года как увлекся тематикой информационной безопасности мобильных устройств. В частности, особый акцент делал на Андроид. Активно изучая эту ОСь, а также программируя на ней. Данная ОС является самой распространенной среди мобильных устройств. Соответственно и зловредов, которые будут писаться под эту платформу, логически должно быть в разы больше по сравнению с остальными. А значит — выбор разной и вкусной мальвари для изучения есть.
В прошлом году я произвел реверс 2-х мальварей и написал про это 2 статьи для компании «Пентестит»: «Анализ sms-бота для Android. Часть I» [1] и «Анализ sms-бота для Android. Часть II» [2]. С тех пор произошло много интересного в мире ИБ мобильных устройств. Одним из этих интересных событий является появление специализированного дистрибутива для изучения и пентестинга мобльных устройств и приложений Santoku Linux.
Появление данного дистрибутива не является случайностью. Все растущая доля мобильных устройств в жизни каждого человека толкает злоумышленников на попытки получения несанкционированного доступа к личным данным. Соответственно специалисты должны быть готовы к отражению разного рода атак на частные данные. Это было бы несколько трудно сделать, если бы пришлось искать и устанавливать, настраивать различного рода софта по ИБ мобприлов. Поэтому Santoku появилась вовремя, хоть и без особого шума. Этакий Backtrack-Kali Linux для пентестинга мобприлов.
Теперь давайте перейдем к краткому описанию самой ОСи. Сантоку построена на базе дистрибутива Lubunt u (Ubuntu с оконным менеджером LXDE). Работает только на 64-битных системах. Разрабатывается компанией NowSecure. Актуальная версия 0.5. Сантоку — это такой вот ножик для разделки. Дословно Сантоку переводится с японского языка как «три добродетели» или «три пользы». И это неспроста. Сантоку дает возможность работать с мобильными устройствами в 3-х направлениях:
1. Мобильная криминалистика. Средства для получения и анализа данных.
2. Мобильная малварь (вредоносы). Средства для исследования вредоносов, вирусов, троянов и т.д.
3. Безопасность мобильных приложений. Средства для выявления уязвимостей в приложениях и повышения уровня безопасности.
Устанавливается Сантоку легко и без особых опций, как обычная Ubuntu. Поэтому установку рассматривать не будем. Перейдем сразу к рассмотрению вкусностей ждущих нас внутри. Сантоку имеет при себе стандартный софт, такой как игры, браузеры, офисные приложения и др. Одним словом — стандартный комплект дистрибутива Linux. На них тоже не будем останавливаться.
Итак, переходим к самому интересному, а именно — к софту, связанному с мобильными приложениями и их безопасностью.
Открываем меню и находим раздел Santoku. Там есть такие подразделы:
— Development tools.
— Device forensics.
— Penetration testing.
— Reverse engineering.
— Wireless analyzers.
Подразделы Penetration testing и Wireless analyzers мы рассматривать не будем. Они связаны с средствами для анализа сетевого трафика и тестирования на проникновение (они есть Бактрак-Кали линуксе). И у нас остаются 3 подраздела, которые и являются нашими «тремя полезностями», «тремя вкусностями».
В данном разделе помимо средств разработки Eclipse и Android SDK (о которых было много статей) отметим только несколько интересных:
1. Heimdall. Это кроссплатформенный комплекс инструментов с открытыми исходниками, используемых для установки прошивок (aka ROM) на устройства линейки Samsung Galaxy. Пожалуй, единственное средство (кроме работы ручками в консоле линукса со скриптами), которое может путем формата, репартишна, нового бутлоадера (проще говоря, переноса системных разметок на другие участки памяти, минуя убитые, и прошивки другого системного загрузчика) помочь восстановить убитый девайс.
2. SBF Flash. Еще один прошивщик SBF файлов для устройств Моторола.
1. AF Logical OSE. Приложение (небольшой фреймворк) для съема всех данных с устройства и сохранения их на SD-карту.
2. Android Brute Force Encryption. Утилита для расшифровки Android FDE (Full Disk Encryption).
3. ExifTool. Очень мощная программа для снятия различной мета-информации с файлов полученных с мобильного устройства. Например, место и время фотографирования фотографий (простите за тафтологию).
4. iPhone Backup Analyzer. Утилита для быстрого и легкого доступа к бэкап папке айфонов. Просмотр конфиг-файлов, чтение архивов и многое другое.
5. Scalpel. Эффективная утилита для восстановления удаленных файлов.
6. SleuthKit. Набор утилит для исследования устройств.
1. Androguard. Очень мощная утилита для реверса приложений Android. Дизассемблирование, декомпиляция и многое другое. Написана на Питоне.
2. AntiLVL. Утилита для выведения из строя защиту приложений методом LVL.
3. APKTool. Еще одна утилита для декомпиляции APK-файлов.
4. Bulb Security SPF. Специализированный фреймворк для пентестинга Андроидофонов. Обладает богатым функционалом.
5. Mercury/Drozer. Еще один мощный фреймворк для проведения аудита и атак на Андроид устройства. Серьезная вещь. Разрабатывается на достойном «уровне».
6. Radare2. Универсальный фреймворк для дизассемблирования любых платформ, не только Андроид. Функционал обширный, требует отдельной статьи.
Это был краткий экскурс в Santoku Linux. Многие утилиты были описаны кратко. Считаю, что по работе с каждой из них можно написать отдельные посты. Чем и планирую заняться в ближайшее время.
Спасибо за внимание.
Автор: drhouse
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/android/88677
Ссылки в тексте:
[1] «Анализ sms-бота для Android. Часть I»: http://habrahabr.ru/company/pentestit/blog/231425/
[2] «Анализ sms-бота для Android. Часть II»: http://habrahabr.ru/company/pentestit/blog/231427/
[3] Источник: http://habrahabr.ru/post/255601/
Нажмите здесь для печати.