MOBSF

6 min readAug 3, 2021

Merhaba, bu yazımda MobSF uygulamasının çalışma mantığından ve inceleme bölümlerinin ne işe yaradığından bahsediyor olacağım.İyi okumalar.

MOBSF NEDİR?

MobSF,bir apk dosyasının hem dinamik hem de statik analizini gerçekleştirebileceğiniz bir platformdur. Belirli işlevleri sayesinde birçok analizi bu uygulama yardımıyla yapabilirsiniz. Elde ettiğiniz sonuçlar içerisinde İmzalayan Sertifika Analizi ,Uygulama izinleri,Ağ Güvenliği Analizi,Manifest Analizi,Kod Analizi,APK Paketlerinde Bulunan Dosyalar,API dosyaları gibi birçok bilgiye ulaşabilirsiniz.Toplanan bilgilerin düzenli bir şekilde aktarılması için raporlama özelliğinden yararlanabilirsiniz.

MOBSF KURULUM

MobSF’yi https://github.com/MobSF/Mobile-Security-Framework-MobSF adresinden indirebilirsiniz .

Kurulumu terminal üzerinden yapmak isterseniz.

• git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git

cd Mobile-Security-Framework-MobSF

Gerekşi parametreleri girelim.

• apt-get install python3-venv

pip3 install -r requirements.txt

İşlemleri tamamladığınızda, MobSF’yi ve tüm bileşenlerini otomatik olarak kurmak için aşağıda belirtilen komutu girerek çalışmasını sağlayabilirsiniz.

· ./setup.sh

MobSF’in kurulumunu tamamladığını ve tüm dosyların yüklendiğini aşağıdaki ekrandan görebiliriz.

Artık MobSF’i çalıştırmak istersek “./run.sh” komutunu girerek çalıştırabiliriz. Aşağıdaki ekran görüntüsünden anlayacağımız gibi MobSF’nin 8000 numaralı bağlantı noktasında yerel bir sunucuda çalışacağı çıkartabiliriz.

MobSF’e bağlanmak için tarayıcınızı açın ve üst bölümde olan ekran görüntüsünde yazan http://0.0.0.0:8000 bağlantısını girerek MobSF’i çalıştırabiliriz.

Mobsf APK Upload and Analyze

Yukarıda gördüğünüz gibi karşınıza çıkan ekranda Upload &Analyze bölümüne tıklayarak incelemek istediğiniz dosyayı Mobsf uygulamanıza yükleyebilirsiniz. Dosyanın yüklenmesini bekleyiniz .Daha sonra analiz ettiği sayfaya sizi yönlendirecektir.

Giriş

Uygulama hakkında genel bilgilerin bulunduğu alandır. Bu bölümde uygulamanın güvenlik puanı, dosyanın adı, dosya boyutu,MD5,SHA1,SHA256 bilgileri gibi birçok bilgiye ulaşabilirsiniz.

Biraz aşağı kaydırdıktan sonra, tüm görebildiğimiz şu:

· Activities,services, receivers,providers şeklinde dört farklı bölüme ayrılmış alanlardan genel bir bilgi edinebilirsiniz.

· MobSF’nin çalışma zamanı analizleri yapmasına yardımcı olacak dinamik analiz seçeneği de mevcuttur.

· Ayrıca dosyanızın smali kodlarına, manifest dosyasına ve java kodlarına da ulaşabilirsiniz.

SIGNER CERTIFICATE

Sertifika alanında ülke, eyalet, hash algoritmaları imzalama türleri gibi bilgiler hakkında önemli bilgileri bulabileceğiniz imzalayan sertifikasını görebiliriz.

Application Permissions

MobSF ile bir uygulamanın sahip olduğu tüm izinleri listeleyebiliriz. Bu izinlerin yüksek seviye veya bilgi düzeyine kadar çeşitlerini gözlemleyebiliriz. İzinleri gözlemlemekteki amaçlarımızdan biri uygulama için hangi sorunlara yol açabileceği, nasıl önlemler alınabileceği konusunda fikir edinmektir. Örneğin, bir uygulamanın harici ortama erişimi varsa ve kritik bilgileri harici medyada depolarsa, harici medyada depolanan dosyalar genel olarak okunabilir ve yazılabilir olduğundan tehlikeli olduğu kanıtlanabilir.

BROWSABLE ACTIVITES

Ağ güvenliği bölümünde, incelediğiniz uygulamayla ilgili ağ güvenliği sorunları hakkında bazı ayrıntılara yer verilir. Bu problemler bazen MiTM gibi kritik saldırılara yol açabilir. Benim incelediğim apk dosyasında herhangi bir sorunu göstermemiş fakat örnek olarak uygula manın uygulanan SSL sabitleme mekanizmasını kullanmadığı görülebilir.

Manifest Analizi

Bir sonraki bölümde, MobSF manifest dosyasını analiz etti. Android bildirim dosyasından, uygulamanın hata ayıklanabilir olup olmadığı, veri şemaları vb. gibi hangi etkinliklerin dışa aktarıldığı gibi birçok bilgi bulunabilir. Referans için aşağıdaki ekran görüntüsüne bakın.

Kod Analizi

MobSF’nin OWASP MSTG gibi endüstri güvenlik standardı uygulamalarına dayalı olarak uygulamanın bazı işlevlerini analiz ettiğini, karşılaştırdığını ve güvenlik açıklarını OWASP Top 10 ile eşleştirdiğini görebiliriz. Kod analizinde belirli standartlara göre bulunan zafiyetin CWE’den bahsedildiğini ve CVSS puanından da bahsedildiğini görebiliriz.Bu sayede farklı senaryoları düşenerek sorun çözmede ve raporlama işleminde bize yardım olabilir.

Related to Malware Analysis

Fıle Analysis & Apkid Analysis

MobSF, APKiD analizinin yapılmasını da sağlar. APKiD, android dosyalarındaki çeşitli paketleyicileri, derleyicileri vb. tanımlamamıza yardımcı olan açık kaynaklı bir araçtır. APK’daki PEiD’ye benzer.

Domain Malware Check

Domain Malware Check bölümünde etki alanlarının kontrolü sağlanır. MobSF, kodlanmış veya uygulamada kullanılan tüm URL’leri/IP adreslerini çıkarır ve kötü amaçlı yazılım durumunu gösterir ve ayrıca coğrafi konumunu vermek için ip2location kullanır.

Strings

MobSF, stringlerin analizini de yapmaktadır. Stringler bir dosyaya gömülü ASCII ve Unicode ile yazdırılabilir karakter dizileridir. Stringler de şüpheli bir ikili dosyayla ilişkili program işlevselliği ve göstergeler hakkında ipuçları verebilir. Örneğin, bir APK çıktı olarak bir şey gösteriyorsa, bu akış çağrılacak ve dolayısıyla dizelerde gösterilecektir. Bu, strings.xml dosyası ile aynı değildir. Çoğu zaman APK’nın iletişim kurduğu üçüncü taraf IP adresi burada görünür hale gelir.

Emails

MobSF’de kodlanmış e-postalar da bulunabilir. Maillerin çoğu geri derlenmiş kaynak kodu kullanılarak yapılır. Örneğin veri tabanına erişmek için üçüncü taraf bir sitede kimlik bilgisi olarak kullanılan kritik e-posta kimliklerini bulabilir.

URLS

Url’ler de e-postalar gibi, genellikle kodlanmış olarak bulunur. Erişilen kötü amaçlı URL’leri gözlemleyebiliriz.

Possible Hardcoded Secrets

Çoğu zaman geliştiriciler, AWS kimliği ve kimlik bilgileri gibi kritik anahtarları strings.xml’de saklama ve Java etkinliğinde referans olarak bir nesne kullanma alışkanlığına sahiptir. Ancak strings.xml’nin kodu kolayca çözülebildiğinden bunu yapmak çok doğru değildir.

ACTIVITES

Mevcut tüm aktivitelerin bir listesi MobSF kullanılarak da kaydırılabilir. Bu, android APK’nın işlevleri hakkında bir fikir verir. Bazen geliştiriciler şifreleme uyguladıysa, jadx sınıfın gerçek adlarını bazı rastgele harflerle değiştirir, MobSF gerçek adını da ilişkilendirebilir.

Uygulamanızı incelerken aynı zamanda tüm dosyalarla birlikte services, broadcast, providers and content receivers gibi bilgilere de erişebilirsiniz.

Raporları İndirme

Rapor analizini tamamaladıktan sonra elde edilen bilgileri bir PDF dosyasında görüntülemek isterseniz yanda bulunan bölümden Download/Print Report kısmını seçerek indirebilirsiniz.