4. Sandbox Nedir?
Kontrollü Ortam
Bir dosyanın zararlı olup olmadığına dair analiz, gözlem ve
çıkarımların, kontrollü bir şekilde yapıldığı ortamlardır..
Hiç Bir Şeye Karışma, Her Şeyi İzle!
Donanım Sanallaştırmanın Gücü
Sandbox analiz ortamları, potansiyel zararlının yaptığı hiç bir
aktiviteyi engellemez ve her yaptığı işlemi kayıt altına alır.
Sandbox cihazları en yeni nesil donanım sanallaştırma
platformlarının gücünü kullanarak, fiziksel sisteme en yakın
ortamı sağlayar ve sanal ortamların getirdiği tespit
edilebilmeye yönelik zayıflıkları azaltmaya çalışır.
@BGASecurity
BGA | Siber Güvenlik Danışmanlığı
Kaynaklar
Email
Web
USB
5. Sandbox Türleri?
Ajanlı
Sandbox, analiz işlemine başlama,
izleme ve bulguları toplama
işleminlerini sanal makine üzerine de
çalışan bir ajan yazılımı yolu ile yapar..
Ajansız
Sandbox, tüm analiz süreçlerini sanal
makine üzerinde bir değişiklik
yapmadan ve ajan gerektirmeden
hypervisor katmanında ki teknolojileri
ile gerçekleştirir.
@BGASecurity
BGA | Siber Güvenlik Danışmanlığı
Ajan Tabanlı Sandbox Analizi
Ajansız Sandbox Analizi
Sandbox Ajanı
Sandbox
Engine
6. Sandbox ile Analiz?
@BGASecurity
BGA | Siber Güvenlik Danışmanlığı
...
Repütasyon
Kontrolü
Statik
Analiz
Dinamik
Analiz
Analiz
Raporu
Repütasyon Skoru
Tüm Anti-Virüslere
ait tarama Skoru
Sandbox
Çözümüne Özel İş
Zekası Skoru
7. Sandbox Çalışma Şekilleri?
@BGASecurity
BGA | Siber Güvenlik Danışmanlığı
...
Repütasyon
Kontrolü
Statik
Analiz
Dinamik
Analiz
Analiz
Raporu
Repütasyon Skoru
Tüm Anti-Virüslere
ait tarama Skoru
Sandbox
Çözümüne Özel İş
Zekası Skoru
✓ Build Time
✓ Hash
✓ Certificate
✓ Trust/Not Trust?
8. Sandbox Çalışma Şekilleri?
@BGASecurity
BGA | Siber Güvenlik Danışmanlığı
...
Repütasyon
Kontrolü
Statik
Analiz
Dinamik
Analiz
Analiz
Raporu
Repütasyon Skoru
Tüm Anti-Virüslere
ait tarama Skoru
Sandbox
Çözümüne Özel İş
Zekası Skoru
✓ Packer check
✓ IAT check,
✓ Blacklist API,
✓ Blacklist String,
✓ Section entropy
✓ Self/Modify Section,
✓ Undoc Api,
✓ …..
✓ File I/O
✓ Network I/O
✓ Registry I/O
✓ Process Aktiviteleri
✓ Hafıza Analizi
✓ Kod Enjeksiyonu
✓ Kendini kalıcı kılıyor mu?
✓ ….
✓ Build Time
✓ Hash
✓ Certificate
✓ Trust/Not Trust?
9. Sandbox Sample Analiz Aşamaları?
@BGASecurity
BGA | Siber Güvenlik Danışmanlığı
...
Repütasyon
Kontrolü
Statik
Analiz
Dinamik
Analiz
Analiz
Raporu
Repütasyon Skoru
Tüm Anti-Virüslere
ait tarama Skoru
Sandbox
Çözümüne Özel İş
Zekası Skoru
Memory
Dump
Network
Activity
Function
Call Logs
File I/O
Registry
I/O
YARA
Rules
✓ Packer check
✓ IAT check,
✓ Blacklist API,
✓ Blacklist String,
✓ Resource entropy
✓ Self/Modify Section,
✓ Undoc Api,
✓ …..
✓ File I/O
✓ Network I/O
✓ Registry I/O
✓ Process act…
✓ Hafıza Analizi
✓ Kod Inject…
✓ Kendini kalıcı….
✓ …
✓ Build Time
✓ Hash
✓ Certificate
✓ Trust/Not Trust?
11. Sandbox Evasion Teknikleri BGA | SOME Services
Malware yazarları, geliştirdikleri zararlının her zaman tespit edilemeden
radar altında kalabilmesi için kötü niyetli aktivitelerini gizleyecek yeni
yöntemler geliştirirler..
Bu yöntemleri 3 kategoride değerendirebiliriz;
1. Sandbox’ı yakala,
2. Sandbox dan kaç,
3. Ortamına Göre Şekil Al
12. Sandbox Evasion Teknikleri - 1 BGA | SOME Services
1 – Sandbox’ı Tespit Edelim
Bir zararlı yazılım genellikle Sandbox varlığını
tespit etmek için şu soruları sorar!
➢ Bir sanal makine/hypervisor ortamında mı çalışıyorum?
✓ Cpu komutları (opcode) ile backdoor tespiti (artık düşük ihtimal)
• Vmware için port 0x5658 – (çok eski artık işlevsiz)
• Virtualbox için geçersiz opcode tespiti (ilkel kaldı)
• Uzun opcode’lar ile Sanal İşlemci tespiti (vCPU lar da etkisiz)
• Trap ve Carry Flagleri ile VM tespiti (hala etkili)
• Redpill - IDTR’ın sanallaştırılamaması! (eski ama yaşıyor)
• BIOS/UEFI Stringlerinden tespit
13. Sandbox Evasion Teknikleri - 1.2 BGA | SOME Services
1.2 - Sandbox çözümüne/ortamına ait verilerden yararlanma
Bir zararlı yazılım genellikle Sandbox varlığını tespit etmek için şu soruları sorar!
➢ Bir sanal makine/hypervisor ortamında mı çalışıyorum?
• Sandbox Çözümlerine Özel Bilgilerin Kontrolü
▪ CPUID ile işlemci markası kontrolü (vmware,Microsoft HV,kvm,etc..)
▪ Process adı, Dosya adı, Registry anahtarı
▪ Dosya Sistemi Yapısı, Windows ID
▪ Kullanıcı Adı, Parola, Domain Adı vb..
• Sandbox’ın Çalışma Yöntemlerine Özel Kontroller
▪ İlk imajın durum kontrolü (her reboot sonrası sıfırlanmış imaj!)
▪ Sandbox’a özel dinlenen port veya ağ yapısı
• Sandbox’ın Detection esnasında yaptığı işlemlerin tespiti
▪ Her yeni çalışan processe inject edilen Module (dll)
▪ IAT/EAT hook / Api detour,
▪ OpCode Enumaration (desktenmeyeni bul)
15. Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services
Sandbox Ajanı Her Processe, kendi DLL’ini Yüklüyor
Not: Burada sadece module ismi ile değil tüm modullere ait Verified Signer aranarak da
tespit gerçekleştirilebilir.
17. Sandbox Evasion Teknikleri – 2.Bölüm BGA | SOME Services
2. Sandbox dan Kaçalım,
Çoğu Sandbox analiz çözümü in-guest adı verilen bir aktivite izleme yöntemi kullanır. Bu yöntem de
analiz ortamına, çözüme ait processler, kod enjeksiyonları ve hookingler gerçekleştirilir. Analiz süresinin
bir limiti ve sample boyutunun bir sınırı vardır.
➢ Sandbox, malware de çalışma zamanlı kod değişikliği yapmış mı?
• Runtime anında kodumuza ait bütünlük integrity doğrulaması yapabiliriz,
➢ Sandbox, yaptığımız API çağrılarını hook mu ediyor?
• Doğrudan Api’ler yerine Internal/Undocumented Api/Kod’lar çağırabiliriz,
➢ Sandbox, her tür çalıştırılabilir dosya formatını analiz edebiliyor mu?
• Çoğu Sandbox çözümü .hta, .dzip, .swf vb.. gibi aslında doğrudan çağrılabilen uzantıları
desteklemediğinden dolayı aktivite izleme analizlerine dahil etmiyor!
➢ Sandbox, tüm interface/kod teknolojilerini analiz edebiliyor mu?
• COM, ActiveX, JAVA etc.. gibi teknolojileri çağıran payloadlar analizlerden kaçabilir,
18. Sandbox Evasion Teknikleri – 2 BGA | SOME Services
Runtime anında kodumuza ait bütünlük integrity doğrulaması yapabiliriz
19. Sandbox Evasion Teknikleri – 2 BGA | SOME Services
Doğrudan Api’ler yerine Internal/Undocumented Api/Kod’lar çağırabiliriz
20. Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services
3. Ortamına Göre Davran,
Bu tarz saldırılar Sandbox ortamları ile ilgilenmez, zararlı yazarlarının beklenti ve kabullerine göre şekillenir.
Örneğin zararlı sadece bir Domain ortamında ve yahut SCADA gibi endüstriyel otomasyon sistemlerinde
çalışıyor olabilir.
➢ Sandbox, her sample analizi için yeni bir oturum açılışı mı gerçekleştiriyor?
• Sistem çalışma süresi ile Explorer.exe çalışma süresi arasındaki fark hesaplanır!
➢ Sandbox, Domain Üyesi ancak gereksiz olduğu için GPO almıyor ise?
• Oturum açma süresi ile Son uygulanan GPO süresi karşılaştırılır,
➢ Sandbox, User hesabı Domain üyesi ancak email account’u yok?
• Aktif kullanıcı için DC üzerinden “mailbox” sahiplik bilgisi elde edilir,
➢ Sandbox, hemen analize başlıyor ve analiz süresi bir limite mi sahip?
• Zararlı enfeksiyon aşaması için sadece belirlenen tarih ve zamanı bekleyebilir.
21. Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services
Hedef bir domain ortamı ise zararlımız aktif kullanıcının
bir exchange email hesabı olmasını bekleyebilir
22. Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services
Normal şartlar da Explorer.exe ile System uptime süresi birbirine çok yakındır