8 Mayıs 2014 Perşembe

Malwarelerin Sandbox Tespit Etme Teknikleri

Son günlerin modası olan sandbox mimarilerinin zararlı kod geliştiricileri tarafından nasıl atlatılabildikleri ile ilgili çeşitli teknikler ortaya çıkmaktadır.

Malwarelerin Sandbox tespit etme tekniklerinden biri;

Çalıştırıldığı Windows sistemde  HKLM\Software\Microsoft\Windows NT\CurrentVersion\   Registry alanındaki ProductID  değerini kontrol etmektedir. 

Aşağıda belirtilen Product ID değerleri çok bilinen sandbox teknolojilerinin kullandığı değerlerdir. Malware geliştiricileri zararlı kod çalıştırıldığında öncelikli olarak bu Product ID değerleri check etmektedir. Eğer herhangi biriyle uyuşan değer varsa zararlı aktivite yapmayacak şekilde çalışıp işlemini bitirmektedir. Ancak bu Product ID ler haricinde bir değer varsa bu sistemin gerçek son kullanıcı olduğunu anlayıp zararlı aktivite yapacak şekilde kendini çalıştırmaktadır.

Product ID listesi;

  •           76487-640-1457236-23837
  •        76487-337-8429955-22614
  •        76487-644-3177037-23510
  •        76497-640-6308873-23835
  •        55274-640-2673064-23950
  •         76487-640-8834005-23195
  •        76487-640-0716662-23535
  •        76487-644-8648466-23106
  •        00426-293-8170032-85146
  •         76487-341-5883812-22420
  •        76487-OEM-0027453-63796
Bu Product ID listeleri çok bilinen Joebox, GFI, Kasperksy, CWSandbox, Anubis vb. sandbox çözümlerine aittir.

Sandbox mimarisi bir çözüm alacakken onun atlatılabilme yeteneklerini iyi test etmek gerekmektedir.  Sandbox teknolojileri bir çözüm sağlar mı? Ciddi oturup tartışmak gerek.

Hiç yorum yok:

Yorum Gönder