Sandbox Ortamını Atlatmayı Nasıl Engelleyebilirsiniz?

39808i1528fbce7c0a66b6

5-7 Ekim 2016 tarihlerinde Denver,USA’da gerçekleştirilen Virüs Bülten Konferansı onlarca güvenlik uzmanının katılımıyla tamamlandı. Check Point araştırmacıları Stanislav Skuratovich ve Aliaksandr Chailytko da ayrıntılı bir konuşma yaptı.Siber güvenlik uzmanları Sandbox’tan kaçışı nasıl engelleyebilir? Aşağıda onların sunumunun br özetini hazırladık.

Kötü amaçlı yazılım dünyası dinamik bir süreçtir. Sandboxların görünmesiyle birlikte, kötü amaçlı yazılım yazarları bunları aşmak için yollar aramaya başladı.Sonsuz kedi-fare oyununun bir parçası olarak kullanıcıların sandboxtan kaçma girişimlerini engelleyerek, kullanıcıları tutmak için çaba harcanıyor.Sandboxlar dosya davranışlarını analiz etmek ve kötü amaçlı yazılımları tespit etmek için araştırmacılar tarafından kullanılan steril ortamlardır.Siber suçlular bir sandbox içinde olup olmadıklarını tespit etmek için kötü amaçlı yazılım oluştur ve bunu yapmak için birkaç ana teknik kullanırlar.Malware bir sandbox içinde çalıştığını algıladıktan sonra aşağıdaki sahte davranışlardan birini başlatır:

  1. Varlığını gizlemek için yürütmeyi sonlandırmak ve daha fazla suçluyu ortaya çıkarmaya yol açabilecek kötü yazılım araştırmalarını önlemek.
  2. Araştırmacıları yanıltmak için kötü niyetli değilmiş gibi rol yapar , malware’in gerçek doğası hakkında yanlış bilgi verir.
  3. Sahte domain ya da sahte IP adresleri gibi yanıltıcı aktiviteler sergiler.

screen_shot_2015_04_30_at_11_13_00_am-png

Bu üç taktiği kullanarak kötü amaçlı yazılımın sandbox tarafından tespitinden kaçabilir.

Sandbox atlatıldıktan sonra kullanıcıya zarar vermeye devam edebilir.

Bir sandbox’ı atlatmak için ilk etapta bir sandbox içinde çalıştığını belirlemek zorundadır.Malware yazarları genellikle bu amaç için sandbox kodu hatalarından faydalanırlar, Cuckoo Sandbox durumunda olduğu gibi. Cuckoo Sandbox, güvenlik dünyasında yaygın olarak kullanılan , önde gelen bir otomatik kötü amaçlı yazılım analizi sistemidir.Piyasadaki en büyük oyuncuların neredeyse hepsi,VirusTotal ve Malwr de dahil , otomatik davranış analizi yapmak için  Cuckoo Sandbox kullanır. Stanislav ve Aliaksandr  de sanal ortamlar ve hipervizörler içinde kötü yazılımların sandbox ortamını tanımasına ve olası çözümlerine izin veren hatalar tarif etti.

2017-03-16T21:59:13+00:00 October 23rd, 2016|Check Point|