1. Ana Sayfa
  2. Symantec ve Trend Micro
  3. Cryptolocker için Comodo Sandbox ve Symantec Endpoint Protection Sonar Karşılaştırması

Cryptolocker için Comodo Sandbox ve Symantec Endpoint Protection Sonar Karşılaştırması

Cryptolocker için Comodo Sandbox ve Symantec Endpoint Protection Sonar Karşılaştırması. Bu yazımda son zamanların moda virüsü olan Cryptolocker virüsünü iki farklı üreticinin ürünü ile test edeceğim ve nasıl aksiyon aldıklarını göreceğiz. Testime Comodo ile başlayacağım ve iki farklı Crypto zararlısı ile test edeceğim. Karşılaştırmayı yaparken iki Virüs programının güncellemeleri tam olarak yapılmıştır.


Resim-1


Resim-2

İlk olarak CryptoWall Malware ile test edeceğim. Zip dosyasını açtığım anda Comodo farkına varıp asıl zararlıyı sildi.


Resim-3


Resim-4

Bilgisayarımda hiçbir şekilde yayılmadı ve herhangi bir dosya şifrelenmedi.


Resim-5

Karantinaya baktığımda aşağıda ilgili zararlının exe sini yakaladığını görüyoruz.


Resim-6

İkinci testimizi meşhur olan mail ile yayılan Turkcell, TTNET vb şekilde gelen zararlı üzerinde yapalım. Teste başlamadan önce aslında biraz uyanık olmak gerektiğini belirtmekte fayda var.

Aşağıdaki maili inceleyelim

Soru : Mail Nereden Geliyor ?

Cevap : Sözde Turkcell

Yorum : E arkadaş madem Turkcell’ den geliyor. @demirhanelektrik.com nedir ya? Hiç mi sorgulamıyorsun

Soru : İlk sorunun cevabı gözünüzden kaçtı. Siz turkcell’ e Webmaster diye bir mail adresimi verdiniz?

Cevap: Hayır

Yorum : Biraz uyanık olun. Herşeyi tıklamayın.

Soru : Hattınız Turkcell’ mi

Cevap: Benim hattım Turkcell

Yorum: Hattım Turkcell ama kurumsal, yani faturamı şirket ödüyor. Bu mailin bende ne işi var? Sorgulayın.


Resim-7

Hadi hepsini yediğimizi varsayalım. Artık nasıl yeniyorsa anlamadım gitti. Tıkladım ve Turkcell sayfası açıldı. ifv.gsmfatura.org nedir ya? O kadar Polyanna’yız ki devam . Güvenlik kodunu da girdik ve sözde faturayı indirdik.


Resim-8

Aşağıda güzelim sözde faturamız duruyor 🙂  . Tıklayayım bari.


Resim-9

Comodo başarılı şekilde Sandbox içerisinde çalıştırıyor ve size koruyor. Bu test sonucunda hiç bir zararlı makinama bulaşmadı ve herhangi bir belgem şifrelenmedi.


Resim-10

Aşağıda da karantinayı görebilirsiniz.


Resim-11

Sonuç olarak Comodo görevini başarılı şekilde yaptı. Sandbox teknolojisinin ne kadar önemli olduğunu görmüş olduk. Aynı test Sandbox kapatılarak yapıldığında zararlı bulaşıyor. Şimdi sıra diğer ürünü testimize geldi.


Resim-12

Comodo görevini başarılı şekilde yaptı bakalım Symantec nasıl aksiyon alacak. İlk olarak CryptoWall zararlısını zip dosyasından çıkardım.

Gözlem : SEP,  zararlıyı tıklamadıktan sonra bir işlem yapmıyor. Yani Zararlı bir aksiyon almadıktan sonra exe dosyasını direk silmiyor. Comodo’da zip den çıkarırken sildiğini görmüştük.

İlgili Application’ı tıklıyorum ve çalıştırıyorum.


Resim-13

Sonar devreye giriyor ve zararlıyı engelliyor. Makinama herhangi bir zararlı bulaşmadı.


Resim-14

İkinci testimi de Turkcell fatura virüsü ile yapıyorum. İlk bölümdeki gibi güvenlik kodunu girip sözde faturamı indiriyorum.


Resim-15

Orda fatura güzel güzel duruyor PDF falan değil ama olsun yine de açayım ben !


Resim-16

Ve SEP yakalıyor.


Resim-17

Makinama herhangi bir zararlı bulaşmadı ve dosyalarım şifrelenmedi.

?

Zararlıyı sanal ve izole bir alanda çalıştıran bir teknoloji. Sadece zararlı olmasına gerek yok herhangi bir uygulamayı da çalıştırabilirsiniz. Örneği şöyle devam ettirelim. İnternetten bir uygulama indirdiniz ama temiz olup olmadığından emin değilsiniz. Bunu Sandbox içerisinde çalıştırıp makinanıza yayılıyor mu ? Appdata altına birşeyler yazmaya çalışıyor mu ? veya dosyalarınızı şifreliyor mu ? bu gibi durumları burada öğrenebilirsiniz. Yani zararlıyı tamamen izole alanda analiz edebilirsiniz.

?

Symantec bu ürünü WholeSecurity’ den satın alıp kendi uygulamasına entegre etti. Asıl odağı Truva, Malware ,e postadan gelen zararlılar ve Zeroday e karşı koruma sağlamayı hedefliyor. Sonar sezgisel analiz kullanır. Bu da aslında henüz Zeroday olan ve imza bilgileri Symantec Database’lerde olmayan zararlılardan korunmanızı sağlar.

Son olarak da Virüs programınızın olmadığını varsayalım. Size bir mail geldi ve açmayı düşünüyorsunuz. Mailde From, to ve Subject Kısımlarına bir göz atın.


Resim-18

FROM : Turkcell Maili nasıl @demirhanelektrik.com diye bir yerden gelir.

To: Garip değil mi Webmaster diye bir yere mail atıyorlar.

Subject : Gramer’ i zorlamışlar ama sanki olmamış gibi. Hesabınız elinizde mi yazarsınız yoksa Ekim Faturanız Ektedir gibi bir tabir mi kullanırsınız?

Umuyorum Faydası Dokunmuştur

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

 

TAGs : Sandbox Nedir, Symantec SONAR Nedir, , , , Cryptolocker nedir, , , Cryptolocker cozum, Cryptolocker decrypter, , Cryptolocker virus, , Cryptolocker sifreli dosyalari acma, ,

Yorum Yap

Yazar Hakkında

Profesyonel iş hayatıma 2008 yılında başladım. 10 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’de Kıdemli Sistem Uzmanı olarak çalışmaktayım. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım mshowto.org sitesinde gönüllü yazarlık yapmaktayım. 15+ konferansta konuşmacı olarak yer aldım. 150+ makale ve bu yazı serisi ile birlikte beşinci E-Kitabımı yazmanın mutluluğunu yaşamaktayım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE,MCPS,MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldüm. MVP | Enterprise Mobility ,2016,2017 MCSE | Server Infrastructure MCSA | Server 2012 MCPS | Microsoft Certified Professional Microsoft Specialist : Server Virtualization with Windows Server Hyper-V and System Center Specialist Tenable Certificate of Proficiency Cyberoam Certified Network & Security Professional Backup Academy Certified Professional

Yorum Yap