Análisis Dinámico en AndroidSwissKnife

Buenas Amigos de Estación Informática. Soy Fare9 y hoy os traigo una nueva actualización de mi herramienta AndroidSwissKnife. ANDROIDSWISSKNIFE




A pesar de estar estos dos últimos días jodido ( con fecha de referencia 28/10/2016 ), he intentado hoy escribir sobre mi última actualización de AndroidSwissKnife (algo que ya llevaba un tiempo en el tintero). Hace ya tiempo que empecé a leer sobre análisis de malware en Android, pero no se me había ocurrido añadir análisis dinámico a mi herramienta, y en cuanto conocí DroidBox dije "Muy interesante, ¿por qué no?" . A los que no tengáis ni idea de que es haré una pequeña explicación:

DroidBox es una herramienta escrita en python la cual te permite levantar un emulador de android con unas imágenes del sistema modificadas, las cuales al ejecutar ciertas funciones, mostrarán por el log de android (se puede ver a través de logcat) la información en un formato JSON (ejemplo en un SMS el número a quien se envía, en una modificación el archivo modificado...). Tras esto va reuniendo la información para luego mostrarla al usuario igual en formato JSON. Para ejecutar la aplicación y en concreto la clase principal (MAIN o LAUNCHER), utiliza una librería llamada monkeyrunner la cual te permite conectar con un dispositivo, instalar una apk, ejecutar una función de la apk, hacer capturas de pantalla, hacer clicks en la pantalla... Me ha parecido una librería tan explendida que hasta famosos la usan:




El código de DroidBox puede ser consultado en: https://github.com/pjlantz/droidbox/tree/master/droidbox4.1.1

A vista de que era una opción bastante interesante, me decidí en incluir el código con distintas modificaciones en el framework AndroidSwissKnife, tuve que realizar modificaciones en distintas funciones al tener que pasar código a Python3 y además como las librerías de XML me parecen un poco aburridas y complejas de usar, me decanté por el gran amigo de los Crawler's programmers BeautifulSoup, el cual de momento funciona bien. Además añadí Burpsuite, a la hora de realizar el análisis dinámico se abrirá una ventana con Burpsuite y después nos pedirá el nombre del emulador, tras esto, creará una carpeta con apktool donde sacará el AndroidManifest para reconocer las partes del APK, y finalmente ejecutará en el emulador la aplicación y empezará a sacar logs (recomiendo dejar cargar el emulador, nunca fue muy bien ese emulador de android la verdad).

Por tanto vamos a ejecutar la aplicación a ver que tal funciona, para animar un poco hoy la sesión con un poco de música, dejo una canción que me encanta y además está cantada por una buena amiga (Fight Together - Español , Fight Together - Català )

  1.  Primero hay que instalar AndroidSwissKnife (hay una pequeña función de instalación, pero todo lo que se pueda hacer manualmente no está de más).
  2. Tras esto elegiremos una APK para realizar el análisis dinámico:
  3. Después (estando dentro de la misma carpeta que el apk) ejecutamos lo siguiente:
    androidSwissKnife.py -a 2abff9ab25d8b9909f23783f20757e612a3eaa02.apk --DroidBox 
  4. Tras esto y un poco de paciencia, tendremos abierto un Burpsuite donde podremos establecer el proxy, y establecer Intercept en OFF para no tener problemas (pestaña Proxy -> Intercept is Off), también la aplicación nos pedirá el nombre de nuestro emulador (en mi caso Sandbox):
  5. Tras esto, abrirá otro terminal, en el cual empezará a ejecutar el emulador, además en el terminal que ya teníamos abierto, empezará a usar apktool para poder conseguir el AndroidManifest de la aplicación. Tras esto nos mostrará el nombre del archivo, sus diferentes hashes (MD5,SHA1,SHA256), y finalmente diferentes partes del Manifest (uses-permissions,permissions,activities,MainActivity...).
  6. Una vez tengamos cargado el emulador, pulsaremos ENTER en nuestro terminal:
  7. Entonces monkeyrunner empezará a funcionar, conectará con el dispositivo, instalará la aplicación y finalmente ejecutará la clase principal.
     
  8. Una vez acabado, empezará el análisis dinámico y la recolección de logs, para ello podemos interactuar con el emulador y con la aplicación, con lo cual conseguiremos más logs en nuestro programa. Para finalizar simplemente tendremos que pulsar CTRL-C:
  9. Una vez pulsado CTRL-C nos mostrará en formato JSON, los logs sacados por la herramienta. Y aquí vendrá la pericia del auditor para poder saber que a accedido, o si realizó accesos a internet, o envío de SMS...
Y bueno hasta aquí, la ampliación de la herramienta AndroidSwissKnife para análisis de aplicaciones Android, aún está en una fase algo beta, tiene algunos problemillas pero se irán solucionando (cosillas varias, como por ejemplo un thread que no finaliza, fallos en algun log...), puede que la opción de burpsuite se vuelva opcional, ya que alguna aplicación pueden detectar proxies y cosillas así.
Aún así presentaré esta herramienta en el SEC/ADMIN de este año. Espero os guste y cualquier cuestión en mi github teneis un email de contacto, así como una pestañita de issues, donde dejar vuestros problemas con la herramienta.

Sec/Admin 2016 ¿Te lo vas a perder?

Hola a tod@s

Como pasa el tiempo, ya nuestra 3º edición, este año volvemos con más y mejor, si te gusto el año pasado, este lo vas a flipar. Desde la organización hemos hecho un esfuerzo bestial para intentar crear una CON  amena y divertida. Con nosotros no te aburrías.


Como sabéis se realizará en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Sevilla. Gracias a Alejandro Carrasco y todos los integrantes de la universidad que hacéis posible este evento.


Comandando la organización seguimos al pie del cañón Adrián y yo. No podemos olvidarnos por su puesto de nuestros Patrocinadores y darle las GRACIAS, porque sin ellos esta locura sería inviable.  

Co-organizan

logo_400x400                          logo-ETSII-US-Horizontal-Color                               estacioninfoirmatica

Patrocinadores Gold


logointeco

Patrocinadores Silver


catedrastelefonica
logo_mnemo01-1
 
myce-eset-logo sophos-logo

Fortinet
logo-b-copiafujitsu_sm_red_rgb_74px

Como venimos diciendo con anterioridad, este sin duda es un año lleno de novedades, porque somos más que charlas:

CAPTURE THE FLAG
#secadmin2016

Con el apoyo institucional de Incibe. Como es sabido, el ganador se llevará la katana de esta tercera edición
además de ser invitado por Incibe a participar en la final de Cybercamp2016

logotipo_cybercamp_2016

Artillería

cartelartilleria
CALL FOR TOOLS!!
Plazo máximo hasta las 23:59  del día 10 de Noviembre de 2016
#secadmin2016
Patrocinado por
ToolsWatch
Sec/Admin Artillería>> nos sumamos a la idea  ya propuesta por compañeros de RootedCON, BlackHat o EkoParty. Reside en brindarle a  nuestros asistentes la oportunidad de que puedan presentar a la comunidad sus últimas tools. Con la posibilidad de que la tool ganadora será promocionada a nivel mundial por :logo1

Zona Fsociety

f_society
#secadmin2016

Adéntrate con nosotros en nuestro salón recreativo. Fsociety será un apartado del congreso en donde podrás entre charla y charla disfrutar de unas partidas a juegos arcade gracias a las máquinas recreativas que traeremos. Aquellos tiempos en los que para poder jugar a un video juego tenias que salir de casa y pedir a papa 25 pesetas, sin embargo Elliot le dio otra utilidad.

El arte digital

5b88b5a1fbcc2882004c5a9bfc625b2f
#secadmin2016

Tenemos una sección llamada “El arte digital”  todo lo relacionado con drones, robótica, arduino, raspberry, gadgets, etc.
Al igual que se exponen en galerías obras de arte como pinturas y esculturas ¿por que no exponer el arte digital? Una buena ocasión de exponer estos productos.

Keynotes

#secadmin2016

Exprésate libremente, habla de lo que quieras, expón tu última investigación, cuéntanos tus inquietudes, dudas, que te gusta, que no te gusta, tú eres el protagonista. 

Podéis enviar vuestras propuestas de Keynotes, Arte Digital o Artilleríafjavier@secadmin.es  &  info@secadmin.es

Hacking Solidario

solidario

Hacking Solidario & Banco de Alimentos
De la mano de nuestros amigos de Hack&Beers Mª José Montes Miguel Arrollo y Edu Sanchez traemos Hacking Solidario se tratan de unas charlas de concienciación en seguridad TIC a familias, donde se recogerán alimentos/juguetes para los más necesitados. Por favor tienen que ser alimentos no perecederos para el Banco de Alimentos de Sevilla. Los alimentos preferentes son: Leche, Aceite (no es necesario que sea de oliva), Lentejas, garbanzos y alubias, Azúcar, Alimentación Infantil o Conservas.
Desde aquí hacemos un llamamiento decid a vuestras familias que acudan a esta parte del evento Mª José Montes os deleitará con la charla Mi teléfono móvil, un peligro constante en la que protegerás a los tuyos sobre los peligros que existen y encima seréis solidarios, alimentos a cambio de formación.

 Zona Recruiter


#secadmin2016

Por ahora nos han confirmado mi empresa Mnemo. Esta zona está habilitada para la recogida de CVs en mano, esta es tu oportunidad de desarrollar tu carrera profesional en unas de las consultoras de seguridad más punteras del momento.
 


Black Sec/Admin 

#secadmin2016

Si os quedáis con ganas de Hacking, networking y buena gente, habrá mucho más, después del cierre del viernes os citamos en un establecimiento, será una Sec/Admin más underground, os iremos informando sobre la ubicación, en el no faltará la cerveza y la posibilidad de charlas improvisadas & Wargames al más puro estilo underground.

After hour 

3537131190_13e9359664_b
#secadmin2016


Fiesta final, tras clausurar el evento los mejores hackers de España invadirán Sevilla. La diversión esta garantiza  en los locales de moda de la capital andaluza. Os iremos informando sobre la ubicación.

7 Talleres & 18 Charlas ¿Quieres más? Daros prisa si queréis presentar algo en El Arte Digital, KeyNotes o Artillería. Sobre todo daros prisa para adquirir vuestra entrada ¡que se agotan! Quedáis avisados no os lo podéis perder, promete y mucho :p

Os dejo la agenda del evento.
Sec/Admin 2016 Agenda
Sec/Admin Friday 25, Day 125 Noviembre 2016
09:00 — 09:45
Registro y venta [anónima] de últimas entradas.
Puerta
09:30 — 10:00
Acceso y control de acreditaciones .
Salón de Actos
10:00 — 10:10
Acto de bienvenida
Salón de Actos
10:15 — 11:00
“El desmadre del Internet de las Tortas” – Josep Albors.
Salón de Actos
11:00 — 11:30
Desayuno y networking!
11:30 — 12:00
¿Cómo crear tu propio Shodan con Python? – Jorge Websec
Salón de Actos
12:00 — 12:30
Glauco: Sistema Avanzado de Identificación de Fraude Digital – Roberto Peña
Salón de Actos
12:30 — 13:30
“El JIRA tiene un color especial” – Pedro Laguna.
Salón de Actos
13:30 — 14:00
“Esquema de Seguridad Nacional” – Julia.
Salón de Actos
14:00 — 16:00
Almuerzo y networking!
16:00 — 17:00
“Analizando la seguridad de un dispositivo de seguridad” – Pepelux.
Salón de Actos
17:00 — 18:00
PSBot: No tools, but no problem! With Powershell -Pablo González.
Salón de Actos
18:00 — 18:30
Merienda y networking!
18:30 — 19:30
Bogdan airprobe adaptado a BlackRF y HackRF: hopping channels sniffing-Pedro Cabrera
Salón de Actos
19:30 — 20:30
“Hackeando mesas de mezclas Pioneer y convirtiéndote en
la pesadilla del DJ” -Deepak Daswani
Salón de Actos
20:30 — 21:30

HSTS, HPKP en clientes y servidores. You are doing it wrong! -Sergio de los Santos
Salón de Actos
22:00 — 23:00
Cena con organizadores, ponentes y más networking!
Sec/Admin 26 Saturday, Day 226 Noviembre 2016
09:00 — 10:00
Venta de entradas.
Puerta
09:30 — 10:00
Acreditaciones para el taller.
Puerta
10:00 — 11:00
Talleres (Aula 1 al Aula6).
Aulas
11:00 — 11:30
Cargar las pilas con un desayuno y networking!
11:30 — 12:30
Talleres (Aula 1 al Aula6).
Aulas
12:30 — 13:30
Talleres (Aula 1 al Aula6).
Aulas
13:30 — 14:00
Talleres (Aula 1 al Aula6).
Aulas
14:00 — 15:30
Almuerzo y networking!
15:30 — 15:45
Acceso y control de acreditaciones .
Salón de Actos
15:45 — 16:45
“Cuando la criptografía falla. Del cifrado homomórfico a las ondas cerebrales” – Alfonso Muñoz.
Salón de Actos
16:45 — 17:45
Hackers, Analistas…Espías : Quién es quién en el mundo de las amenazas digitales avanzadas – Dani Creus.
Salón de Actos
17:45 — 18:00
“Premio al mejor hacktools Artillería, patrocinado por ToolsWatch
Salón de Actos
18:00 — 18:30
Merienda y networking!
18:30 — 19:30
“El Internet de los huevos – Pedro Candel (S4urhon)
Salón de Actos
19:30 — 20:30
“Por confirmar”- Juanito
Salón de Actos
20:30 — 21:00
Entrega de KATANA Sec/Admin. Y tabla de posiciones en el desafío CTF con el apoyo institucional de INCIBE
Salón de Actos
21:00 — 21:15
Cierre, despedida y resumen


Sec/Admin 2016 Actividad GRATIS Y ABIERTA PARA TODOS LOS PUBLICOS
Sec/Admin 26 Saturday, Day 226 Noviembre 2016
10:00 — 12:00
“Hacking Solidario” -Eduardo Sánchez y María José Montes
Salón de Actos
12:00 — 14:00
“Software Libre” -Richard Stallman
Salón de Actos

Sec/Admin 2016 Actividades Paralelas al evento
17:00 — 19:00
“Keynotes, habla de tus proyectos e ideas libremente
Aulas
10:00 — 19:00
“Zona Fsociety: vuelve al pasado con nuetras recreativas”
Zonas Comunes


No seáis malos. 

Hacking Solidario en SEC/ADMIN

 


 

El día 26 de noviembre  estaré en SEC/ADMIN con Hacking Solidario, para recoger alimentos no perecederos para el Banco de Alimentos de Sevilla. Los alimentos preferentes son:


Leche
Aceite (no es necesario que sea de oliva)
Lentejas, garbanzos y alubias
Azúcar
Alimentación Infantil
Conservas

Y tendré el placer de dar una charla con mi compañero Eduardo Sánchez "Mi teléfono móvil, un peligro constante ".


En la charla te enseñaremos como protegerte frente a los ciberdelincuentes, los peligros que corren los más pequeños en las redes sociales, cómo un criminal puede saber donde vives o incluso un menor, así como el hecho de poder recuperar tu teléfono móvil incluso después de que te lo hayan robado.

Todas esas cosas y algunas más te enseñaremos en nuestra charla y a cambio sólo te pedimos que colabores con el banco de alimentos. 

Entre todos podemos aportar mucho !!

 ¡No faltéis!