Son günlerin modası olan sandbox mimarilerinin zararlı kod geliştiricileri tarafından nasıl atlatılabildikleri ile ilgili çeşitli teknikler ortaya çıkmaktadır.
Malwarelerin
Sandbox tespit etme tekniklerinden biri;
Çalıştırıldığı
Windows sistemde HKLM\Software\Microsoft\Windows
NT\CurrentVersion\ Registry alanındaki ProductID değerini
kontrol etmektedir.
Aşağıda belirtilen Product ID değerleri çok bilinen sandbox
teknolojilerinin kullandığı değerlerdir. Malware geliştiricileri zararlı kod
çalıştırıldığında öncelikli olarak bu Product ID değerleri check etmektedir.
Eğer herhangi biriyle uyuşan değer varsa zararlı aktivite yapmayacak şekilde
çalışıp işlemini bitirmektedir. Ancak bu Product ID ler haricinde bir değer
varsa bu sistemin gerçek son kullanıcı olduğunu anlayıp zararlı aktivite
yapacak şekilde kendini çalıştırmaktadır.
Product
ID listesi;
- 76487-640-1457236-23837
- 76487-337-8429955-22614
- 76487-644-3177037-23510
- 76497-640-6308873-23835
- 55274-640-2673064-23950
- 76487-640-8834005-23195
- 76487-640-0716662-23535
- 76487-644-8648466-23106
- 00426-293-8170032-85146
- 76487-341-5883812-22420
- 76487-OEM-0027453-63796
Bu
Product ID listeleri çok bilinen Joebox, GFI, Kasperksy, CWSandbox, Anubis vb.
sandbox çözümlerine aittir.
Sandbox mimarisi bir çözüm alacakken onun atlatılabilme yeteneklerini iyi test etmek gerekmektedir. Sandbox teknolojileri bir çözüm sağlar mı? Ciddi oturup tartışmak gerek.