Merhaba arkadaşlar bugün Malware Analizi için Lab. Ortamı serimizin sonuna gelmiş bulunuyoruz. Son konularım olan Cuckoo Sandbox ve Sandboxie'yi sizlere anlatacağım. Lafı fazla uzatmadan konumuza geçelim.
Sandboxie Nedir?
Sandboxie, kendi aygıtınız üzerinde açamayacağınız ve şüphe duyduğunuz bir dosyayı sanal ortama taşıyıp açmaya yarayan bir programdır. Önceki sürümlerinde sadece x32 mimariye sahip olan bu uygulama şimdi x64'e de destek vermektedir. Eğer ki şüphelendiğiniz dosyayı aygıtınızda açmak ve test etmek istemiyorsanız bu program tam size göre.. Yine de unutmamanız gereken bir durum var, ne kadar sanal ortamda çalışırsa çalışsın virüslerin ana makineye bulaşma ihtimali az da olsa vardır.
Sandboxie Nasıl Kurulur?
İlk önce Sandboxie'yi tarayıcınız üzerinden aratarak indirelim ve setup dosyasına çift tıklayalım. Uygulamayı kullanacağınız dili seçip OK tuşuna basalım. Daha sonrasında sizlere Lisans Sözleşmelerini kabul ettirecek bir menü gelecektir, "Kabul Ediyorum" tuşuna basıp kurulumumuza devam edelim. Bu kabulden sonra sizlere uygulamayı nere kurmak isteyeceksiniz diye soracaktır, göz at kısmından dilediğiniz hedef dizinii seçip tamam diyin ve kur butonuna basın. Kurulum işlemi bittikten sonra, Sandboxie'nin tam olarak çalışabilmesi için driver kurulumu yapacaktır. Kısa sürede biten bu kurulum sonrası sizlere Sandboxie hakkında kısa bir eğitim sunulacaktır. Dilerseniz örnekleri uygulayıp uygulama hakkında bilgi sahibi olup tecrübe edinebilirsiniz, dilerseniz next next yaparak uygulamayı kullanmaya geçebilirsiniz. Sandbox'un ayarlamasına gelirsek, Sandbox > DefaultBox > Sandbox Ayarlarına tıklayın ve sil kısmına geliniz. Sil kısmından Sandbox içeriklerini otomatik olarak sil'i aktif hale getirin ve Apply seçeneğine tıklayıp bu ayarı kaydediniz. Sonrasında ise kurtarma bölümüne gelip sizin için önemli olan dosyaların dizinlerini ekleyebilirsiniz. Bu size oldukça yarar sağlayacaktır, olası bir analiz sırasında dosyalarınız silinirse geri kurtarılabilecektir. Sonuç olarak bu virüsler ana makinenize kesinlikle sızmayacak diye bir kaide yoktur, sadece riski azaltır. MW Analizi sırasında, virüsün sistem üzerinde yaptığı değişiklikleri görmek için Görünümden dosyalar ve klasörleri seçebilirsiniz, bu seçenek malwarenin hareketlerini izleyecektir. Yine MW Analizi sırasındayken interneti kesmek isterseniz sandbox ayarları üzerinden internet erişimi kısmına girip bu ayarları düzenleyebilirsiniz.
Şimdi ise gelelim nasıl kullanılır onu anlatayim. Sandboxie'nin gelen kontrol panelinden Sandbox Default'a sağ tık atıp sandbox ile çalıştıra tıklayarak dilediğiniz dizindeki uygulamayı çalıştırabilirsiniz. Ya da X uygulamasına sağ tık atıp Sandboxlu Çalıştır seçeneğine tıklarsanız yine aynı sonuç ile karşılaşacaksınız. Uygulamayı test edip sonlandırmak içinse panel üzerinden dosyaya sağ click atıp içerikleri sil'e tıkladıktan sonra dosya içeriklerini silebilirsiniz. Ek olarak bu uygulama sayesinde masaüstünde iki kere açılmayan bir oyunu açıp daha fazla ganimet için uğraş verebilirsiniz :trollface: Sandboxie anlatımımızın burada sonuna gelmiş bulunmaktayız şimdi ise Cuckoo Sandbox nedir ve Nasıl Kurulur onu anlatalım..
Cuckoo Sandbox Nedir ve Nasıl Kurulur?
Cuckoo Sandbox izole edilmiş ortamda saniyeler içerisinde malware analizi yapmayı hedef alan bir sistemdir. Analizi yapar ve size raporlar gönderir. Windows 10 üzerinden kurulumlar yapacağım için bir kaç gerekli şey yapmam gerekecek; Windows Subsystem'i Linux'a göre kurmak bunların ilk başında yer alacaktır. Bu kurulumu yapmadan önce bilgisayarınızın versiyonunu öğrenmeniz gerekmektedir. Bunun için arama yerine Settings yazın ve gelen pencereden Windows Update'yi seçin. Sonrasında ise OS Build info'ya tıklayın (Bilgisayarım İngilizce olduğu için seçeneklerim de İngilizce, siz Türkçe yazılmış şekilde olanına girin.) ve OS Buildiniz karşınızda! Şimdi ise yapmamız gereken şey arama kısmından PowerShell'i yönetici olarak çalıştırıp şu komutu girmek olacaktır:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux , bu komut sonrasında size bu komutu tam olarak çalıştırmak için yeniden başlayıp başlamayacağını soracaktır, Y yazıp enterleyiniz. Ben bu konuyu yazdığımdan dolayı N dedim ve kuruluma devam ettim. Bundan sonrasında ise Microsoft Storeyi açalım ve Ubuntu yazıp aratalım. Çıkan sonuçlar arasında Ubuntuyu seçip GET'e tıklayalım. Bu işlemden sonrası için yapmamız gereken şey Developer Mode'yi aktif hale getirmek olacaktır. Yine arama kısmına ayarlar yazıp girelim ve Update & Security bölümüne tıklayıp For developers kısmından en alttaki tiki seçelim ve onaylayalım. Sonraki işlemimiz ise cmd'yi açıp bash yazmak olacaktır, bu komut size Windows üzerinden Ubuntuyu yükleyecektir, onaylamanız için Y yazıp enterleyiniz. Size girmeniz için Unix kullanıcı adı ve şifresi soracaktır, kendinize göre doldurup enterleyin. Ubuntuyu ayarladıktan sonra cmd'yi açıp tekrar bash yazın, bu adımdan sonrasında ise güncelleme işlemi yapmanız için sudo apt-get update ve sudo apt-get upgrade yazarak güncelleme yapıp yükseltebilirsiniz. Bir kaç indirme ve güncelleme işleminden sonra ise yapmamız gerekli olan mödülleri kurmak olacaktır. Bu modüllerden önce bilgisayarınızda python'un kurulu olduğundan emin olun, öbür türlü hata yaşarsınız .sudo apt-get install lampserver^ diyelim, karşınıza indirmeler sonrası mysql için root şifresi isteyecektir, şifreyi girip ok seçeneğine tıklayalım. Bu modülden sonra diğer modülleri yüklemek için işlemlerimize devam edelim ve komut satırına yine sudo apt-get install mongodb yazalım. Bu indirmeden sonra servisleri aktif hale getirmek ve cuckooyu kurmak için şu komutları girelim. sudo service apache2 start / sudo service mysql start / sudo service mongodb start, komutlardan sonra bir urlye girdiğinizde başarılı olarak çalıştığını göreceksiniz. Cmd üzerinden pip install cuckoo diyerek cuckooyu indirelim. Bu mödüllerin çalışması için gerekli olan easy_install mysql-python komutuyla indirelim. Cuckoo'yu çalıştırmak için ise cmd üzerinden cuckoo init yazın ve ctrl r atarak cuckoo'nun bulunduğunu dizini girip ok tuşuna basın (user'in içinde .cuckoo olarak geçecektir'). Cuckoo dosyalarına geldikten sonra config ayarını değiştirmek için cuckoo.conf isimli dosyayı açın ve arama yerine connection yazarak enterleyin. Şimdi ise sıra sanal makinenizi ayarlamakta, bunu google üzerinden araştırarak bulabilirsiniz.
Bugünki konumuzun sonuna gelmiş bulunmaktayız, değerli vakitlerinizi ayırıp okuduğunuz için teşekkür ederim.
Not : Yanlışlarım ve eksiklerim olabilir, düzeltilmesi gereken bir yer olursa lütfen yorumlarda belirtiniz.
Son düzenleme:
