2016年5月11日 星期三

[反組譯工具]超好用的APK反組譯工具-BytecodeViewer

簡介
自APP開發興起後,Android APP的反組譯(decompile)領域逐漸開始是被關注的領域。因APP初期保護機制的不完善以及惡意程式的興起(例:詐騙簡訊.apk)後,逆向工程的領域一直是電腦技術人員專精研究的部份。

  • 駭客可藉由破解正常的apk程式後,偽冒正常的apk程式騙取使用者個資,以達到竊取的目的。
  • 資安人員可藉由分析駭客撰寫的惡意apk,來瞭解惡意程式主要的目的與行為模式。

初期在分析apk的過程中,一般分析人員大多使用下列的工具作分析與操作過程

  • 更改apk副檔案為壓縮檔案(rar)
  • 解壓縮(rar)檔案後,取出classes.dex
  • 利用smali工具作AndroidManifest.xml的反組譯來還原並讀取apk的權限功能
  • 使用dex2jar與jd-gui搭配,讀取apk撰寫的java code

而這樣的反組譯(decompile)的過程與工具的使用,往往需要具備有cmd指令與基礎工具操作經驗的人員作分析,使得有興趣研究的初學者學習上面臨到困難而容易放棄。

若用於其他線上反組譯分析工具,也會將apk上傳至遠端主機上的安全疑慮。那有沒有最簡單的分析工具而且又可以在本機上執行的呢?

本文推薦BytecodeViewer作為apk decompile工具,因BytecodeViewer在操作過程中,相當好用,該軟體把常用的decompile工具打包起來,並將之圖形化。分析人員只要會作基本的操作後,再讀取程式碼內容即可。

BytecodeViewer官方軟體下載:http://bytecodeviewer.com/

BytecodeViewer軟體操作過程

BytecodeViewer下載並解壓縮完成後,點擊BytecodeViewer應用程式

BytecodeViewer開啟後的初始畫面

BytecodeViewer匯入apk檔案時,操作過程 file>add

apk檔案匯入完成後,在file視窗中,會呈現已經反組譯完成的檔案階層式架構

在file視窗中,點選Decoded Resources功能選單,即可快速找到android開發所設定的相關權限功能AndroidManifest.xml。

進一步點擊BytecodeViewer所含的功能視窗後,可以直接拆開原本程式撰寫人員的java code,因此作分析時是相當好用的。但若apk已有設定程式保護機制(混淆)的話,則反組譯出來的結果仍會有部份的不完全。

結論
BytecodeViewer是一個相當便利的反組譯工具,分析人員免除傳統使用不同的工具逐一拆解程式,而可以快速有效率的完成解析的動作,剩下便是分析各類型的java代碼來找出惡意apk的行為模式,可謂是方便有效的工具。

本文章連結:http://linjsian.blogspot.tw/2016/05/decompile-apk-bytecodeviewer.html
本文歡迎轉載,請注明出處

2016年4月13日 星期三

[資安工具]LastActivityView-檢查系統最後的行為

LastActivityView-檢查系統最後的行為

簡介:
LastActivityView是一個極易上手的電腦檢視分析工具,該軟體可以查看目標電腦上所有歷程的檔案存取記錄,讓使用者清楚明白這台電腦從以前到現在開啟的應用程式、檔案內容為何。只要輕輕的點擊開啟後,即可輕鬆的作分析,可謂資安人員分析的好用工具。

情況:
Q1.今天發生某員工的電腦莫名的關機,造成電腦異常時,我們可以怎麼作查詢呢?
首先用LastActivityView開啟後,查看電腦近期開啟檔案的紀錄,自然可以判斷出使用者最後的電腦行為是否有異常,以及該檔案是不是造成莫名關機的主因。

Q2.怎麼查出該電腦使用者有沒有開啟異常的檔案或是存取外接式USB,而違反公司政策呢?
一樣使用LastActivityView檢視後,在「完整路徑」的欄位中,我們可以看到,若有使用外接式USB進行檔案存取的行為,則可以看到本機磁碟代碼(C:、D:)以外的路徑,例如F槽之類的,此時我們就可以確定在什麼時間點電腦使用者開啟了USB內的檔案內容,而這樣的異常行為是不是有竊取檔案的疑慮,以供判斷。

Q3.有沒有異常小程式在自動執行?
LastActivityView在開啟後,也會自動將背景執行的應用程式,以往存取的程式名稱、時間、路徑呈現出來,所以我們只要逐一檢視,找出檔案名稱異常或異常路徑下的資料夾,也有可能將異常的程式檔案抓取出來。

LastActivityView執行操作
直接開啟LastActivityView後,便會自動載入電腦歷程紀錄,相當的易用方便。

 LastActivityView詳細內容
待我們點擊某個列表想要看更詳細的完整路徑與程式名稱時,LastActivityView便會自動的秀出相關細節。

LastActivityView細節操作
在使用LastActivityView時,若在「檢視」的功能選項中,分別勾選「顯示格線」、「顯示工具提示」、「標記奇/偶數行」等功能,即可讓呈現出來的資料列表更加清楚明白,便於易讀。

匯出LastActivityView檔案
最後,若要將LastActivityView內的資料匯整出來的話,因該軟體預設匯出的功能較難分辨。因此我們可以善用EXCEL,將LastActivityView欄位整個複製後,貼到新的EXCEL中,即完成檔案匯出的動作,此時也可以作相關的編排,讓資料列表更清楚明白。

小結
LastActivityView是一套相當易用的懶人工具,只要簡單執行後,便會自動載入目標電腦歷程訊息,不過有一點需要注意的是,若單純的作基本分析用途,安裝的LastActivityView版本可使用官方提供的可安裝版。但若是針對重要的目標電腦作檢視時,則不建議實際安裝在目標電腦上,畢竟會更改了目標電腦的電磁紀錄,將來的數位證據上也會有相關的問題疑慮存在。

LastActivityView官方檔案下載:


2016年3月18日 星期五

[常見資安漏洞]google hacking自動架站軟體index of目錄揭露問題

google hacking自動架站軟體index of目錄揭露問題

簡介:
電子商務的盛行,使得人人可利用現成的架站軟體建構屬於自已的網站平台,且可以減輕初學者在架置網站時所遇到的門檻,以輕輕鬆鬆達到架置網站行銷的目的。不過若對於網站運作流程不熟悉,不懂的伺服器安全性的問題,極有可能導致網站的漏洞產生,進而變成駭客手中的目標。

我們從下列中是為典型利用自動架站軟體(如wordpress、joomla等)所建置而成的網站,在安全性控管的不足所造成的漏洞,而恐怖的是,利用google的特殊語法(index、inurl、filetype、admin)所組成的搜尋內容(俗稱為google hacking),可達到查詢網站漏洞的目的。

案例:
在google hacking中,利用index of的漏洞,可以找出整個網站的索引目錄,使得整體的網站內容一覽無疑的秀在使用者面前,更恐怖的是,只要點選每一檔案或熟悉資料庫連線方式的人,就可以看到該網站的連線數據,進一步取得資料庫的權限進行連線,以達到竊取個資的目的性。

而index of的漏洞,往往是因為網站伺服器安全性不足所導致,通常是appserv佔居多數,而windows作業系統也有可能發生的。


分析方式
當營運的網站發現有google hacking或index of問題時,應注意連線的資料頁面(wp-config.php)是否有遭存取的情況。

可從伺服器的日誌檔案中,找出相關的存取IP與頁面樣式來進行判斷。

小結
當網站發現在index of的漏洞,或是可使用google hacking(index of inurl /admin)之類的語法找出相關的漏洞,應該特別注意網站伺服器的設定方式,是否有將檔案存取的權限打開,造成網站不安全的主要因素。

不過當index of漏洞產生時,通常也代表整體網站架構被看光光了。應盡速更改相關管理者帳號密碼,並且通知會員資料進行修改才是。

2016年3月7日 星期一

[Visual Studio安全性]Visual Studio webconfig 組態檔加解密

簡介
當系統開發人員好不容易將程式碼撰寫完成且正式上架後,在面臨網站的環境中,一定會遭受到網路上惡意的攻擊,其中最主要的目的就是找出網站平台中,資料庫的連線內容,而前端的平台與後端的資料庫在連線的過程中,往往是透過前端的設定(webconfig)後,存取後端的資料庫。

此時,若網站被找出弱點後,webconfig的連線字串都被揭露在駭客的手中,還有什麼自保的方式呢?除了發現後立刻更改後端資料庫的密碼,以防被2次入侵(不過該方式是治標不治本的駝鳥心態,或許資料庫內的個資已被洩露出去了)。

那還有什麼方式是能提高網站安全性的呢? 就是在開發的環境中,加入資安的概念,保護好開發環境的連線內容,在數據傳輸的過程中進行加密,就算連線方式被駭客所竊取,也難以被利用。

webconfig 組態檔加解密教學操作方式

★注意:加解密必須在同一台機器上,否則會無法正常執行

加密 (Encryption)

1.將專案資料夾複製到預定的Server上

2.確定專案使用的Framework版本(本範例使用的是4.0)

3.開啟Command Mode,將路徑切換到C:\Windows\Microsoft.NET\Framework\(Frmework版本)下


4.執行以下指令進行加密:
aspnet_regiis.exe -pef "connectionStrings" "D:\WWWRoot\GoogleMap" -prov "DataProtectionConfigurationProvider"
其中:
"connectionStrings":針對組態檔內的connectionStrings標籤內的資料加密
"D:\WWWRoot\GoogleMap":專案的實體路徑

5.加密完成
開啟webconfig的設定檔案,可看出連線至後端資料庫的字串內容已被加密,多了層安全性。


解密(Decryption)

1.確定專案於Server上的路徑

2.確定專案使用的Framework版本(本範例使用的是4.0)

3.開啟Command Mode,將路徑切換到C:\Windows\Microsoft.NET\Framework\(Frmework版本)下

4.執行以下指令進行解密:
aspnet_regiis.exe -pdf "connectionStrings" "D:\WWWRoot\GoogleMap"
其中:
"connectionStrings":針對組態檔內的connectionStrings標籤內的資料解密
"D:\WWWRoot\GoogleMap":專案的實體路徑

5.解密完成
        至webconfig檔案內,開啟原先的設定內容,即可看到原先被加密的字串已被還原回來,此時可以再做更動修改後,別忘了再把檔案加密完成。

參考資料:

2016年1月27日 星期三

[書籍]網站入侵現場鑑證實錄

網站入侵現場鑑證實錄介紹

Through the analysis of web log, analysts can use log parser lizard (LPL) to quickly understand hacking techniques, and then fix vulnerabilities. This book introduced the Information Security OWASP TOP 10 (information security) and the basic operation of log parser lizard (LPL) software.

前言
筆者先前實際處理過各種公司、網站平台所遇到網路攻擊事件,並經由實際案件的處理流程,整理出各式各樣的處理技巧後,又花費了一番心血匯整成書,順利出版了(撒花)。

而相關的介紹就不在贅述了,不妨請各位讀者們耐心的閱讀下去嚕~~

本書重著在資安事件的處理方式,並以筆者的觀點下去解析各類型的網路攻擊事件

適合對象
網管人員(MIS)
有心想要學習資訊安全領域的人(資安人員)
了解駭客攻擊手法等人員



簡介

本書主要是幫助當公司網站被駭客入侵,惡意的修改網站頁面或植入惡意程式(如:木馬、webshell)後,如何藉由日誌檔案(log)分析的方式,來查出駭客攻擊的過程,以還原一切的手法,相關的案例解說則是本書的重點,其簡介如下:

網站管理員往往是維護網站營運順利的重要角色,而一般的網站管理人員大多欠缺對於網路資安上的處理與分析能力,導致公司、企業的網站在面臨駭客攻擊後,往往不知所措找不到具有處理能力的人員,而錯失每次寶貝的事後還原分析的能力。個資法上路後,政府開始要求企業本身應保障使用者的個資,不得輕易外洩,但若從網路上來的攻擊如何作事後的分析並從中舉證駭客的攻擊手法,降低企業未來面臨的求償和營運風險呢?

本書以駭客使用網站攻擊的手法作為解析的重點,並以實務的分析經驗告知讀者如何分析駭客所遺留下來的數位證據,進一步發掘系統本身的漏洞加以修補,降低公司企業在網路上所面臨的風險。

ISBN:9789863478812

軟體工具下載
本書所使用的工具,則以 Log Parser Lizard為主,而相關的下載程式如下,若需最新版本的Log Parser Lizard軟體工具,請至官方網站下載最新程式,並進行試用後購買

官方載點:
http://www.lizard-labs.com/log_parser_lizard.aspx

本書程式下載點(google drive)
點我

其他教學影片範例與示範用的日誌檔案,均如下面載點

本書教學影片範例與日誌檔
http://linjsian.blogspot.tw/2015/08/TestLog-Download.html

若要進行即時交流與問題反應回饋,請加入本書籍臉書社團

臉書社團:
https://www.facebook.com/groups/1730797680472868/

本書購買管道
天瓏書局:
https://www.tenlong.com.tw/items/9863478814?item_id=1010826

博客來:
http://www.books.com.tw/products/0010704450

金石堂:
http://www.kingstone.com.tw/book/book_page.asp?kmcode=2014713479662

讀冊生活:
http://www.taaze.tw/sing.html?pid=11100773663