[MobSF] 악성코드 자동 탐지 및 분석 시스템 도구

MobSF란 무엇인가?

MobSF(Mobile Security Framework)는 모바일 애플리케이션 보안 분석 도구로, Android, IOS, Windows 애플리케이션에 대해 정적 및 동적 분석을 수행할 수 있는 오픈소스 도구이다. APK 파일 구조를 분석하거나 샌드박스 환경에서 실행하여 악성 행위를 탐지하거나 분석할 수 있다.

---

MobSF의 주요 기능

정적 분석(Static Analysis)

• 애플리케이션을 실행하지 않고 소스코드, 바이너리 파일, 설정 파일 등을 분석하여 보안 문제를 식별할 수 있다.
• 소스코드와 바이너리 파일을 분석하여 잠재적인 보안 취약점을 찾는다.
• APK, IPA 파일의 구조를 분석하고 권한을 분석하여 불필요한 권한 요청을 탐지하며,
  서명 정보를 확인하고 인증서의 유효성을 검사한다.

동적 분석 (Dynamic Analysis)

• 애플리케이션을 실제로 실행하면서 동작을 모니터링하여 보안 문제를 식별한다.
• 네트워크 트래픽, 파일 시스템 접근 등 기능을 수행하여 의심스러운 활동을 탐지한다.
• 프록시를 통해 네트워크 트래픽을 가로채어 분석 가능하다.
• 실행 중 악성코드 행동을 모니터링하고 보고가능하다.

그 외 기능

• 분석 결과를 PDF 또는 JSON 형식으로 보고서를 생성할 수 있다.
• REST API를 통하여 MobSF의 기능을 외부 애플리케이션에서 사용할 수 있도록 지원한다.

---

MobSF 환경 구축 및 설치

MobSF는 github를 통하여 로컬 설치 또는 도커를 통하여 환경 구축이 가능하다.

도커 같은 경우는 MobSF github에 적혀있는 간단한 명령어로 구축이 가능하다. 

MobSF gitHub → https://github.com/MobSF/Mobile-Security-Framework-MobSF

GitHub - MobSF/Mobile-Security-Framework-MobSF: Mobile Security Framework (MobSF) is an automated, all-in-one mobile application

 

로컬 환경 구축

메인 화면에 Releases를 버튼을 누르고 최신 버전의 파일을 다운로드할 수 있다.

1. MobSF 릴리즈 파일 다운로드

2. setup.bat & run.bat 

MobSF는 3.12 이상 버전을 사용할 경우 오류가 생길 수 있으니 3.11.6 & 3.11.7 등 3.10 ~ 3.11 버전을 사용하는 것이 좋다.

MobSF를 사용하고자 하는 디렉터리로 옮겨준다.

명령 프롬프트(cmd)를 통하여 설치된 디렉터리로 이동한 후 setup.bat 명령어를 입력해 준다.

설치가 완료가 되었다면 명령 프롬프트(cmd)를 통하여 run.bat을 실행

실행이 완료되었다면 브라우저를 통하여 localhost:8000을 통하여 접속을 하면 다음과 같은 화면이 나온다.

요약

1.  MobSF git을 통하여 최신버전의 MobSF을 설치 - v4.1.3 버전사용
2. 다운로드한 파일을 사용할 디렉터리로 옮겨준다.
3. cmd 실행 -> 해당 디렉토리로 이동
4. setup.bat & run.bat 순서대로 입력

---

다음 포스팅은 MobSF를 통하여 정적 분석 및 동적분석 apk파일이 암호화되어있을 경우 디패키징 & 복호화 & 리패키징하는 방법에 대해 작성하겠다.