Уже больше года как увлекся тематикой информационной безопасности мобильных устройств. В частности, особый акцент делал на Андроид. Активно изучая эту ОСь, а также программируя на ней. Данная ОС является самой распространенной среди мобильных устройств. Соответственно и зловредов, которые будут писаться под эту платформу, логически должно быть в разы больше по сравнению с остальными. А значит — выбор разной и вкусной мальвари для изучения есть.
В прошлом году я произвел реверс 2-х мальварей и написал про это 2 статьи для компании «Пентестит»: «Анализ sms-бота для Android. Часть I» и «Анализ sms-бота для Android. Часть II». С тех пор произошло много интересного в мире ИБ мобильных устройств. Одним из этих интересных событий является появление специализированного дистрибутива для изучения и пентестинга мобльных устройств и приложений Santoku Linux.
Появление данного дистрибутива не является случайностью. Все растущая доля мобильных устройств в жизни каждого человека толкает злоумышленников на попытки получения несанкционированного доступа к личным данным. Соответственно специалисты должны быть готовы к отражению разного рода атак на частные данные. Это было бы несколько трудно сделать, если бы пришлось искать и устанавливать, настраивать различного рода софта по ИБ мобприлов. Поэтому Santoku появилась вовремя, хоть и без особого шума. Этакий Backtrack-Kali Linux для пентестинга мобприлов.
Теперь давайте перейдем к краткому описанию самой ОСи. Сантоку построена на базе дистрибутива Lubunt u (Ubuntu с оконным менеджером LXDE). Работает только на 64-битных системах. Разрабатывается компанией NowSecure. Актуальная версия 0.5. Сантоку — это такой вот ножик для разделки. Дословно Сантоку переводится с японского языка как «три добродетели» или «три пользы». И это неспроста. Сантоку дает возможность работать с мобильными устройствами в 3-х направлениях:
1. Мобильная криминалистика. Средства для получения и анализа данных.
2. Мобильная малварь (вредоносы). Средства для исследования вредоносов, вирусов, троянов и т.д.
3. Безопасность мобильных приложений. Средства для выявления уязвимостей в приложениях и повышения уровня безопасности.
Устанавливается Сантоку легко и без особых опций, как обычная Ubuntu. Поэтому установку рассматривать не будем. Перейдем сразу к рассмотрению вкусностей ждущих нас внутри. Сантоку имеет при себе стандартный софт, такой как игры, браузеры, офисные приложения и др. Одним словом — стандартный комплект дистрибутива Linux. На них тоже не будем останавливаться.
Итак, переходим к самому интересному, а именно — к софту, связанному с мобильными приложениями и их безопасностью.
Открываем меню и находим раздел Santoku. Там есть такие подразделы:
— Development tools.
— Device forensics.
— Penetration testing.
— Reverse engineering.
— Wireless analyzers.
Подразделы Penetration testing и Wireless analyzers мы рассматривать не будем. Они связаны с средствами для анализа сетевого трафика и тестирования на проникновение (они есть Бактрак-Кали линуксе). И у нас остаются 3 подраздела, которые и являются нашими «тремя полезностями», «тремя вкусностями».
Раздел «Development tools»
В данном разделе помимо средств разработки Eclipse и Android SDK (о которых было много статей) отметим только несколько интересных:
1. Heimdall. Это кроссплатформенный комплекс инструментов с открытыми исходниками, используемых для установки прошивок (aka ROM) на устройства линейки Samsung Galaxy. Пожалуй, единственное средство (кроме работы ручками в консоле линукса со скриптами), которое может путем формата, репартишна, нового бутлоадера (проще говоря, переноса системных разметок на другие участки памяти, минуя убитые, и прошивки другого системного загрузчика) помочь восстановить убитый девайс.
2. SBF Flash. Еще один прошивщик SBF файлов для устройств Моторола.
Раздел «Device forensics»
1. AF Logical OSE. Приложение (небольшой фреймворк) для съема всех данных с устройства и сохранения их на SD-карту.
2. Android Brute Force Encryption. Утилита для расшифровки Android FDE (Full Disk Encryption).
3. ExifTool. Очень мощная программа для снятия различной мета-информации с файлов полученных с мобильного устройства. Например, место и время фотографирования фотографий (простите за тафтологию).
4. iPhone Backup Analyzer. Утилита для быстрого и легкого доступа к бэкап папке айфонов. Просмотр конфиг-файлов, чтение архивов и многое другое.
5. Scalpel. Эффективная утилита для восстановления удаленных файлов.
6. SleuthKit. Набор утилит для исследования устройств.
Раздел «Reverse Engineering»
1. Androguard. Очень мощная утилита для реверса приложений Android. Дизассемблирование, декомпиляция и многое другое. Написана на Питоне.
2. AntiLVL. Утилита для выведения из строя защиту приложений методом LVL.
3. APKTool. Еще одна утилита для декомпиляции APK-файлов.
4. Bulb Security SPF. Специализированный фреймворк для пентестинга Андроидофонов. Обладает богатым функционалом.
5. Mercury/Drozer. Еще один мощный фреймворк для проведения аудита и атак на Андроид устройства. Серьезная вещь. Разрабатывается на достойном «уровне».
6. Radare2. Универсальный фреймворк для дизассемблирования любых платформ, не только Андроид. Функционал обширный, требует отдельной статьи.
Это был краткий экскурс в Santoku Linux. Многие утилиты были описаны кратко. Считаю, что по работе с каждой из них можно написать отдельные посты. Чем и планирую заняться в ближайшее время.
Спасибо за внимание.
Автор: drhouse