揭秘360加固保核心安全能力——应用运行时自保护能力(RASP)

阅读量284258

发布时间 : 2023-09-25 11:12:04

RASP(Runtime application self-protection),即应用运行时自我保护。使得APP在运行中实时发现针对应用的可疑攻击行为。当威胁被检测到,RASP可以阻止攻击者进行应用篡改(Tampering)或者动态分析调试(Dynamic Analysis)。

360加固保基于多年的移动终端安全工程经验,具备成熟的移动应用RASP创新能力,可以在移动应用程序运行时在操作系统底层主动监测和响应潜在的攻击行为,为移动应用程序提供了实时、精准、智能的保护,帮助开发者和企业抵御签名校验、动态拦截、动态分析等安全威胁,全方位保障移动应用安全稳定运行。

据数据统计,尽管80%以上的人同意操作系统本身的安全还不足够,即使部分开发者已经意识到代码本身的漏洞和风险,但是90%以上开发者依然不会对APP运行时采取额外的安全防护措施。

什么是应用篡改?
攻击者利用常见的过签重打包工具,对未加固或者加固后但签名校验能力不强的APP进行签名校验破解。破解者将代码文件修改后,重新回填到破解后的APP,使用盗版签名二次打包。实现APP的业务逻辑被去除的目的。

什么是动态分析?
在运行时,攻击者采用一系列的技术来分析、调试和篡改应用。现如今,随着破解工具愈发成熟,动态分析的手段也越来越简单并且多样化。攻击者可以在特定手机刷入特定工具实现ROOT,可以加载Hook模块来分析、篡改APP运行逻辑,甚至可以偷窃密钥,拦截通信流量,绕过付费业务逻辑等。

所以移动应用RASP的重要性是非常明显的。它通过实时监测和拦截移动应用运行时的异常攻击行为,不仅可以保护开发者的应用不被篡改和恶意分析,而且能够保障开发者和企业的资产和数据不被窃取。

360加固保RASP如何进行防护,从而降低APP的安全风险的?

1. 应用篡改防护

采用强大的签名校验防护机制。对市面上所有的过签工具进行防护。完全杜绝APP签名校验被绕过。保障APP不被二次打包。

应用篡改防护采用综合、全方位的保护方案,纵深防御。不断提高对抗门槛,使得破解者很难寻找可利用缝隙。防护手段包括路经审查、SVC调用、HOOK检测、Seccomp检测、文件检测等等。

2. 动态分析防护

针对常见的HOOK工具、ROOT工具、双开工具进行检测。杜绝APP在动态运行时被HOOK模块进行拦截。

动态分析防护不断升级对抗最新ROOT、HOOK、双开工具,当监测到APP被入侵,对APP运行进行实时阻断。

3. 运行机制

360加固保RASP与APP代码加密、混淆技术进行融合,在APP启动阶段进行检测。若发现异常环境,对APP进行实时业务阻断,且阻断逻辑无法被底层拦截。

360加固保RASP的技术实现原理是什么?

加固保RASP并非采用简单的“特征检测”,结合APP代码加密技术,在APP中注入检测模块,动态监控APP在系统运行过程中系统环境、进程环境、内存环境、网络环境的异常。我们的安全专家在攻防第一线研究攻击者的攻击方式,提取系统运行环境特征,APP运行中在本地实时比对正常行为白名单并采取主动防御措施进行拦截。

360加固保RASP,是经过360移动安全专家超十年同黑灰产持续攻防对抗的经验积累,最终形成业内顶尖的移动应用攻防对抗解决方案,该技术方案已全面集成到高级防逆向及企业版加固套餐中,同时支持作为独立SDK封装产品交付使用,是360加固保核心攻防能力的关键技术。

本文由三六零天御原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/290541

安全客 - 有思想的安全新媒体

分享到:微信
+120赞
收藏
三六零天御
分享到:微信

发表评论

三六零天御

三六零天御(tianyu.360.cn)是360集团面向移动应用打造的安全品牌,搭建了一站式安全防御体系,提供移动应用全生命周期的安全产品和整体解决方案。旗下拥有安全开发、安全评估、安全加固及安全运营四大产品体系。是全球首个为移动应用提供全生命周期安全服务的产品系列。

  • 文章
  • 2
  • 粉丝
  • 0

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66