Home TeknikSiber Güvenlik Sandbox Nedir? Sandbox Nasıl Çalışır? | 8. Yazı

Sandbox Nedir? Sandbox Nasıl Çalışır? | 8. Yazı

by Sema

Bu serinin önceki yazıları

  1. Malware, Honeypot, Sandbox, Cloud 
  2. Malware Nedir ? Malware Türleri
  3. Malware Analizi
  4. HONEYPOT NEDİR?
  5. Honeypot Neden Kullanılır?
  6. Honeypot Projeleri
  7. Bulutta Honeypot Kurulumu

Sandbox, çalıştırılan program/yazılım ya da donanımların güvenilirliğini test eden bir ortamdır. Tam anlamıyla bir güvenlik mekanizmasıdır. Zararlı olup olmadığı bilinmeyen yazılımları/programları/donanımları test eder. Ana sistem denetimleri gibi önemli  işlerde verdiği görev çok kısıtlıdır.

  • Çalışma ortamı çok disiplinlidir. Koruması çok yüksektir. Herhangi bir zarar vermemesi adına sahip olduğu izinler çok azdır.
  •  Zararlı olan yazılımların neler yaptığını anlamayı sağlar. Zararlı olup olmadığını bilmediğimiz yazılımların da içeriğini öğrenmemizi sağlar.

 

Malware SandBox

Zararlı yazılımları çalıştırmak suretiyle dinamik analizini yapan sandboxtır.

Çalıştırılan yazılım sonucunda yazılımın neler yaptığına bakar. Ağda ne değişiklikler yapıyor, ortama ne etkiler yapıyor, nereleri bozuyor, hangi yazılımlara zarar veriyor, belleğe ne tür hasarlar veriyor gibi bilgileri toplayarak raporlar.

Malware Sandbox Nasıl Çalışır?

Sandbox ortamları temelde iki parçadan oluşur.

İlki malware’i çalıştıran ortamdır. Bu ortamı laboratuar ortamı olarak isimlendirebiliriz. Sanallaştırma ortamına örnek olarak VirtualBox ve VMWare’i verebiliriz. Bu programlar şu vakte kadar en çok kullanılan sanallaştırma ortamları olmuştur.

İkinci ortamı da analizi yaparak raporlamayı sağlayan ortam olarak belirtebiliriz.

Analiz ve raporlamanın yapıldığı bölümde laboratuar ortamı ile haberleşip rapor oluşturmayı sağlayan scriptler harici hiçbir şey bulunmaz.

Sanal lab ortamında ise malware’in ne gibi etkilerinin olduğunu analiz edebilmek adına kullanılan wireshark gibi network araçları dosya sistemlerinin hareketlerini  izleyen The Sleuth Kit gibi uygulamaları, günlük kayıtları ve süreçleri izleyen uygulamalar ve belleğin ne durumda olduğunu inceleyen uygulamalar bulunur.

Bazı analiz yapan sandboxlar, veritabanlarına erişerek imza karşılaştırması yaparak verinin değiştirilip değiştirilmediğine bakarlar. Bu toolların çıktılarını birleştirerek sandbox bir analiz ortaya çıkarır ve raporu oluşturur.

Sandbox harici, içeriğini bilmediğimiz bir yazılımı test etmek için sanal makine üzerinde çalıştırabiliriz. Fiziksel bilgisayarımıza zarar vermeyecek şekilde oluşturduğumuz sanal makinemiz üzerinde ilgili yazılımı çalıştırabilir, zararlı olup olmadığını görebiliriz.

Farklı bir alternatif olarak da imkanımız sandboxie olarak isimlendirilen yazılımı bilgisayara kurarak sanal makine çalıştırmadan direkt bilgisayar üzerinde çalıştırmaktır.

Ayrıca Windows 10 ile birlikte programları deneyebilmek adına Sandboxlar kurulu olarak geliyor. Sistemden izole edilmiş bir program olarak gelen bu sandboxlar sayesinde, bilgisayarda istenen laboratuar ortamı oluşturulmuş oluyor.

Bildiğimiz klasik sandboxlarda neler yapabiliyorsak aynısını bu sandboxlar üzerinde de yapabiliyoruz. Alan olarak da fiziksel belleği değil bulut kullanması sebebiyle büyük bir yer tasarrufu etmiş oluyoruz.

 

Bir sonraki yazım olan Cuckoo Sandbox & YARA isimli yazıma buraya tıklayarak ulaşabilirsiniz.

You may also like

Leave a Comment