首页
社区
课程
招聘
[原创]揭秘360加固保核心安全能力——应用运行时自保护能力(RASP)
发表于: 2023-9-6 19:25 5040

[原创]揭秘360加固保核心安全能力——应用运行时自保护能力(RASP)

2023-9-6 19:25
5040

RASP(Runtime application self-protection),即应用运行时自我保护。使得APP在运行中实时发现针对应用的可疑攻击行为。当威胁被检测到,RASP可以阻止攻击者进行应用篡改(Tampering)或者动态分析调试(Dynamic Analysis)。

360加固保基于多年的移动终端安全工程经验,具备成熟的移动应用RASP创新能力,可以在移动应用程序运行时在操作系统底层主动监测和响应潜在的攻击行为,为移动应用程序提供了实时、精准、智能的保护,帮助开发者和企业抵御签名校验、动态拦截、动态分析等安全威胁,全方位保障移动应用安全稳定运行。

据数据统计,尽管80%以上的人同意操作系统本身的安全还不足够,即使部分开发者已经意识到代码本身的漏洞和风险,但是90%以上开发者依然不会对APP运行时采取额外的安全防护措施。

什么是应用篡改?
攻击者利用常见的过签重打包工具,对未加固或者加固后但签名校验能力不强的APP进行签名校验破解。破解者将代码文件修改后,重新回填到破解后的APP,使用盗版签名二次打包。实现APP的业务逻辑被去除的目的。

什么是动态分析?
在运行时,攻击者采用一系列的技术来分析、调试和篡改应用。现如今,随着破解工具愈发成熟,动态分析的手段也越来越简单并且多样化。攻击者可以在特定手机刷入特定工具实现ROOT,可以加载Hook模块来分析、篡改APP运行逻辑,甚至可以偷窃密钥,拦截通信流量,绕过付费业务逻辑等。

所以移动应用RASP的重要性是非常明显的。它通过实时监测和拦截移动应用运行时的异常攻击行为,不仅可以保护开发者的应用不被篡改和恶意分析,而且能够保障开发者和企业的资产和数据不被窃取。

360加固保RASP如何进行防护,从而降低APP的安全风险的?

1. 应用篡改防护

采用强大的签名校验防护机制。对市面上所有的过签工具进行防护。完全杜绝APP签名校验被绕过。保障APP不被二次打包。

应用篡改防护采用综合、全方位的保护方案,纵深防御。不断提高对抗门槛,使得破解者很难寻找可利用缝隙。防护手段包括路经审查、SVC调用、HOOK检测、Seccomp检测、文件检测等等。

2. 动态分析防护

针对常见的HOOK工具、ROOT工具、双开工具进行检测。杜绝APP在动态运行时被HOOK模块进行拦截。

动态分析防护不断升级对抗最新ROOT、HOOK、双开工具,当监测到APP被入侵,对APP运行进行实时阻断。

3. 运行机制

360加固保RASP与APP代码加密、混淆技术进行融合,在APP启动阶段进行检测。若发现异常环境,对APP进行实时业务阻断,且阻断逻辑无法被底层拦截。

360加固保RASP的技术实现原理是什么?

加固保RASP并非采用简单的“特征检测”,结合APP代码加密技术,在APP中注入检测模块,动态监控APP在系统运行过程中系统环境、进程环境、内存环境、网络环境的异常。我们的安全专家在攻防第一线研究攻击者的攻击方式,提取系统运行环境特征,APP运行中在本地实时比对正常行为白名单并采取主动防御措施进行拦截。

360加固保RASP,是经过360移动安全专家超十年同黑灰产持续攻防对抗的经验积累,最终形成业内顶尖的移动应用攻防对抗解决方案,该技术方案已全面集成到高级防逆向及企业版加固套餐中,同时支持作为独立SDK封装产品交付使用,是360加固保核心攻防能力的关键技术。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-9-6 19:26 被三六零天御编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 3004
活跃值: (30866)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
mark
2023-9-11 09:10
1
游客
登录 | 注册 方可回帖
返回
//