移动APP灰色产业案例分析与防范.pdf

移 动 A P P 灰 色 产 业 案 例 分 析 与 防 范 无名侠 薅羊毛，你玩过吗？ 羊毛党的工业革命 Android APP为何成为利益突破口？ 谈谈小米抢购软件的实现  如何从应用层面提高业务安全？ 引流 羊毛党的“工业革命” 手动薅羊毛=> 自动化脚本 提前知道x活动-> 找合伙人/ 注册小号/ 准备vps / 找技术 活动上线-> 找人脱壳-> 找人分析协议-> 找人逆向算法 Android APP为何成为利益突破口？ 1. Android 应用极易被反编译和调试 2. 大量能被利用的应用均有Android端 3. 脱壳、协议分析、算法逆向分工明确，高效合作 【已经和谐】 原理？ 模拟数据包 类似于爬虫 难点– 协议分析 已经和谐 逆向分析APP ，寻找password算法 密钥/ 加密数据嗅探 CryptoFucker，Xposed插件，用于抓取javax.crypto .* 与javax.security.* 算法参数（包括加密数据、密钥、IV、结果等数据）的工具。 /Chenyuxin/CryptoFucker 使用这个工具可测试应用内是否使用了不安全的固定密钥。 密钥/ 加密数据嗅探（续） 千里之提，毁于蚁穴 - 某米电视盒子“自带抓包”“辅助调试” 截图已经和谐 千里之提，毁于蚁穴 - 安全类So如果有x86版本……. Instagram 载入ELF文件 修复重定位 执行 Ollvm 混淆后的算法如何利用？ - Unicorn framework ：/unicorn-engine/unicorn/ - X86 生产环境中模拟执行SO 中的代码 - 防范建议：增加SO 中目标函数的上下文依赖性。 加载ELF文件 重定位 初始化vm上下文 模拟执行 千里之提，毁于蚁穴 —— 套壳保平安 - 你加的壳很难脱，但是你用的加密算法很简单。 - 你加的壳很难脱，但是你用的壳只会保护dex文件。 自改标准算法—— 两种变异的Base64 1、替换Base64符号，某APP某处算法（2016 ）替换“= ”为“B” 2、置换初始化表+异或改进 自改算法—— Tea 使用Ollvm 编译 1、Ollvm 混淆强度非常高，混淆后难以阅读分析。 2、代码加强上下文依赖。 自实现vm 看雪CTF很多类似的题目。 1、非通用vm实现难度低，可根据自身业务需求设计。