[Android] Rooting 탐지 우회(Objection)

개요

Rooting이란 안드로이드에서 제한되어 있는 하위 시스템에 대해 액세스 할 수 있도록 하는 것을 의미하며 이를 통해 사용자 디바이스 내부에서 사용할 수 없는 다양한 시스템 명령을 내려 수정 또는 삭제가 가능하며 루트 권한으로 접근이 가능한 앱을 사용할 수도 있게 됩니다.

 

루팅을 하게되면 자신의 시스템 파일에 접근이 가능해 지기 때문에 완벽하게 제어가 가능해져 보안상 문제가 발생할 수 있어 실제 금융, 공공 기관에서는 루팅 된 단말에서 애플리케이션이 실행되지 않도록 제어하고 있습니다.

 

Rooting 탐지 방법

1. 애플리케이션 실행 시 특정 명령어 실행 및 확인(SU 명령 실행확인)
2. 루팅 된 단말에 존재하는 파일 확인(/system/su, /system/app/Superuse.apk 등)
3. 주로 사용되는 루팅 관련 어플 체크(Kingo Root, FramaRoot, One Click Root, TowelRoot 등)

 

루팅 탐지를 우회할 수 있는 방법은 몇 가지가 존재하지만 오늘은 그중 "objection"이라는 도구를 통해 루팅 탐지를 우회해보도록 하겠습니다.

 

Objection 이란

Frida 기반으로 동작하는 Run-Time Exploration으로 말 그대로 런타임을 조작하여 특정 행위를 할 수 있도록 프로세스에 주입되어 디버깅을 수행하거나 동적으로 분석하는데 주로 사용되는 도구입니다. 과거에는 iOS 기반으로만 동작하도록 되어있지만 현재는 Android 환경에서도 동작하도록 릴리즈 되었습니다.(iOS 환경이 더 안정적이고 호환성이 높음)

<python3 환경>
# pip install objection -> 설치
# objection -> 실행
Options:
  -N, --network            Connect using a network connection instead of USB.
                           [default: False]

  -h, --host TEXT          [default: 127.0.0.1]
  -p, --port INTEGER       [default: 27042]
  -ah, --api-host TEXT     [default: 127.0.0.1]
  -ap, --api-port INTEGER  [default: 8888]
  -g, --gadget TEXT        Name of the Frida Gadget/Process to connect to.
                           [default: Gadget]

  -S, --serial TEXT        A device serial to connect to.
  -d, --debug              Enable debug mode with verbose output. (Includes
                           agent source map in stack traces)

  --help                   Show this message and exit.

  Commands:
  api          Start the objection API server in headless mode.
  device-type  Get information about an attached device.
  explore      Start the objection exploration REPL.
  patchapk     Patch an APK with the frida-gadget.so.
  patchipa     Patch an IPA with the FridaGadget dylib.
  run          Run a single objection command.
  version      Prints the current version and exists.

 

nox_adb shell
cd /data/local/tmp/
/data/local/tmp # ./<프리다서버파일> &

objection은 "frida" 기반으로 동작하기 때문에 자신의 디바이스 내부로 쉘 접근을 하여 프리다 서버를 실행하도록 하겠습니다.

*프리다 서버 설치방법은 하단 포스팅 참고

guleum-zone.tistory.com/137

프리다(Frida) 환경 구축

프리다 서버를 실행해주셨으니 "frida-ps -U" 명령어를 통해 프로세스 간 통신이 가능한지 확인해 주시면 됩니다. 루팅 탐지를 우회할 앱은 insecurebank로 하겠습니다.

 

frida-ps -Ua -> 앱 패키지명 확인(com.android.insecurebankv2)
objection -g <패키지명> explore

프리다 서버 통신이 가능하면 좀 전에 설치해주셨던 objection을 통해 insecurebank에 attach 해주시면 됩니다.

 

탈옥을 우회하기 위해선 insecurebank의 소스코드를 원복 형태로 돌린 후 정적 분석을 진행하여 탐지 포인트를 찾아주셔야 됩니다. 저는 insecurebank 앱을. apk형태로 추출 -> jadx를 사용하여 원복 형태 코드 확인하도록 하겠습니다.

 

Text Search 탭에서 root를 검색하여 rooting 탐지 관련 코드가 어느 위치에 존재하는지 확인해야 됩니다.

 

PostLogin.root_status 파일의 내용 중 "SU" 관련한 탐지를 진행하여 실행된  단말 환경이 루팅 단말인지 탐지를 하고 있습니다. "doesSUexist"를 클릭하여 연관 로직을 찾아보겠습니다.

 

바로 하단에 Runtime.getRuntime(). exec를 통해 SU가 실행되는지 아닌지 여부를 판단하고 있으며 타입은 Boolean 방식으로 True 또는 False반환을 통해 흘러가고 있는 것을 보실 수 있습니다.

 

일반적으로 루팅 된 단말 내부에는 "su" 바이너리 파일이 존재하기 때문에 탐지에 걸리게 됩니다.

 

# android hooking list class_methods <탐지 코드 경로>

첫 번째로 objection을 사용하여 루팅 탐지 로직이 존재하는 파일에 훅을 걸어 존재하는 메소드리스트를 출력해보면 위에서 확인했던 "doesSUexist" 메서드가 보입니다.

 

탐지 코드 경로는 위처럼 파일명을 Copy 하여 그대로 붙여 넣어 주시면 됩니다.

 

# android hooking watch class_method <패키지명.클래스.메소드> --dump-args

루팅 된 단말이 애플리케이션을 실행할 경우 "doesSUexist"의 반환 값이 True 인지 False인지 여부를 판단할 수 있다면 이를 조작하여 비 루팅 단말인 것처럼 할 수 있습니다.

 

insecurebank의 앱을 다시 재 시작하여 반환 값을 추적해야 됩니다.

 

앱을 재실행해본 결과 루팅 된 단말일 경우 반환 값이 True일거라는 추측이 가능합니다. 이제 이 반환 값 정보를 이용해 조작해보겠습니다.

 

# android hooking set return_value <패키지명.클래스.메소드> false

루팅 단말 일시 false 반환 값을 출력하는 "deosSUexit" 메소드에 True 값으로 리턴되도록 조작을 하고 앱을 한 번 더 재시작하도록 하겠습니다.

 

반환 값을 리턴하여 성공적으로 비 루팅 단말로 인식하게끔 우회가 가능해진 것을 볼 수 있습니다.