CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Anti-VM ve Sandbox Tespit Mekanizmaları

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Anti-VM ve Sandbox Tespit Mekanizmaları konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Anti-VM ve Sandbox Tespit Mekanizmaları

Modern malware örnekleri analiz ortamlarından kaçınmak için Anti-VM ve Sandbox tespit teknikleri kullanır. Amaç, sanal makine veya otomatik analiz sistemi tespit edildiğinde payload çalıştırmamaktır.

Giris ve Temel Akis

Modern malware örnekleri analiz ortamlarından kaçınmak için Anti-VM ve Sandbox tespit teknikleri kullanır. Amaç, sanal makine veya otomatik analiz sistemi tespit edildiğinde payload çalıştırmamaktır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • CPUID Kontrolü
  • Registry Kontrolü
  • VM Driver Kontrolü
  • MAC Address Kontrolü
  • Sandbox Artefact Kontrolü
  • Payload Kararı

Temel Kavram Eslesmeleri

Sanal makine ürünleri sistem üzerinde çeşitli izler bırakır. Malware bu izleri kullanarak analiz ortamını tespit edebilir.

  • VMware Tools: VMware sanal makinesi
  • VBoxService.exe: VirtualBox sanal makinesi
  • vmmouse.sys: VMware sürücüsü
  • VBoxGuest.sys: VirtualBox sürücüsü

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram CPUID olarak verilir. Birçok malware sanal makine tespitinde CPU üretici bilgisini kontrol etmek için özel işlemci komutları kullanır.

Arac, Komut veya Inceleme Akisi

Reverse engineer, Anti-VM mekanizmalarını analiz ederken sistem artefactlarını ve kontrol noktalarını takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Binary Aç
  • VM Kontrol Fonksiyonunu Bul
  • Artefact Kontrollerini İncele
  • Karar Mekanizmasını Bul
  • Bypass Uygula

Kanit ve Bilesen Iliskileri

Sandbox sistemleri analiz amacıyla çeşitli karakteristik özellikler gösterir.

  • Düşük Uptime: Yeni başlatılmış analiz sistemi
  • Az Sayıda Dosya: Gerçek kullanıcı aktivitesi eksikliği
  • Tek Kullanıcı Profili: Otomatik analiz ortamı göstergesi
  • Az Çalışan Süreç: Yapay sistem davranışı

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram Uptime olarak verilir. Sandbox tespitinde sistemin ne kadar süredir açık olduğunu gösteren değer sıklıkla kontrol edilir.

Operasyonel Dogrulama ve Raporlama

Malware sanal ortam tespit ettiğinde farklı savunma davranışları gösterebilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • VM Tespiti
  • Payload Gizleme
  • Sahte Akış Çalıştırma
  • Bekleme Süresi Ekleme
  • Programı Sonlandır

Cikti ve Kullanım Amaci

Anti-VM mekanizmalarında farklı tespit yöntemleri kullanılabilir.

  • Registry Check: VM kayıt anahtarlarını arama
  • Driver Check: Sanal makine sürücülerini arama
  • MAC Address Check: VM üretici ağ kartlarını tespit etme
  • CPUID Check: Hypervisor bilgisini sorgulama

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram MAC Address olarak verilir. Birçok sanal makine çözümü ağ kartlarında kendilerine özgü MAC adresi önekleri kullanır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Anti-VM ve Sandbox Tespit Mekanizmaları konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: VMware Tools, VBoxService.exe, vmmouse.sys, VBoxGuest.sys, Düşük Uptime, Az Sayıda Dosya, Tek Kullanıcı Profili, Az Çalışan Süreç, Registry Check, Driver Check. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.