Comodo Sandbox VS Symantec Endpoint protection SONAR

, 3rd Party, Genel

Merhaba,

Bu yazımda son zamanların moda virüsü olan Cryptolock virüsünü iki farklı vendorun ürünü ile test edeceğim ve nasıl aksiyon aldıklarını göreceğiz. Testime Comodo ile başlayacağım ve iki farklı Crypto zararlısı ile test edeceğim. Karşılaştırmayı yaparken iki virus programının updateleri tam olarak yapılmıştır.

 

 

İlk olarak CryptoWall Malware ile test edeceğim. Zip dosyasını açtığım anda Comodo farkına varıp asıl zararlıyı sildi.

 

 

 

 

 

Bilgisayarımda hiçbir şekilde yayılmadı ve herhangi bir dosya şifrelenmedi.

Karantinaya baktığımda aşağıda ilgili zararlının exe sini yakaladığını görüyoruz.

İkinci testimizi meşhur olan mail ile yayılan Turkcell,TTNET vb şekilde gelen zararlı üzerinde yapalım. Teste başlamadan önce aslında biraz uyanık olmak gerektiğini belirtmekte fayda var.

Aşağıdaki maili inceleyelim

Soru : Mail Nereden Geliyor ?

Cevap : Sözde Turkcell

Yorum : E arkadaş madem Turkcell’ den geliyor. @demirhanelektrik.com nedir ya ? Hiç mi sorgulamıyorsun

Soru : İlk sorunun cevabı gözünüzden kaçtı. Siz turkcell’ e Webmaster diye bir mail adresimi verdiniz ?

Cevap: Hayır

Yorum : Biraz uyanık olun. Herşeyi tıklamayın.

Soru : Hattınız Turkcell’ mi

Cevap: Benim hattım Turkcell

Yorum: Hattım Turkcell ama kurumsal, yani faturamı şirket ödüyor. Bu mailin bende ne işi var ? Sorgulayın.

Hadi hepsini yediğimizi varsayalım. Artık nasıl yeniyorsa anlamadım gitti. Tıkladım ve Turkcell sayfası açıldı. ifv.gsmfatura.org nedir ya ? O kadar Polyana’ yız ki devam . Güvenlik kodunu da girdik ve sözde faturayı indirdik.

Aşağıda güzelim sözde faturamız duruyor :)  . Tıklayayım bari.

Comodo başarılı şekilde Sandbox içerisinde çalıştırıyor ve size koruyor. Bu test sonucunda hiç bir zararlı makinama bulaşmadı ve herhangi bir belgem şifrelenmedi.

Aşağıda da karantinayı görebilirsiniz.

Sonuç olarak Comodo görevini başarılı şekilde yaptı. Sandbox teknolojisinin ne kadar önemli olduğunu görmüş olduk. Aynı test Sandbox kapatılarak yapıldığında zararlı bulaşıyor. Şimdi sıra diğer ürünü testimize geldi.

 

 

Comodo görevini başarılı şekilde yaptı bakalım Symantec nasıl aksiyon alacak. İlk olarak CryptoWall zararlısını zip dosyasından çıkardım.

Gözlem : SEP,  zararlıyı tıklamadıktan sonra bir işlem yapmıyor. Yani Zararlı bir aksiyon almadıktan sonra exe dosyasını direk silmiyor. Comodo da zip den çıkarırken sildiğini görmüştük.

İlgili application I tıklıyorum ve çalıştırıyorum.

Sonar devreye giriyor ve zararlıyı engelliyor. Makinama herhangi bir zararlı bulaşmadı.

İkinci testimi de Turkcell fatura virüsü ile yapıyorum . İlk bölümdeki gibi güvenlik kodunu girip sözde faturamı indiriyorum.

Orda fatura güzel güzel duruyor PDF falan değil ama olsun yine de açayım ben !

Ve SEP yakalıyor.

Makinama herhangi bir zararlı bulaşmadı ve dosyalarım şifrelenmedi.

Sandbox Nedir ?

Zararlıyı sanal ve izole bir alanda çalıştıran bir teknoloji. Saadece zararlı olmasına gerek yok herhangi bir uygulamayı da çalıştırabilirsiniz. Örneği şöyle devam ettirelim. İnternetten bir uygulama indirdiniz ama temiz olup olmadığından emin değilsiniz. Bunu Sandbox içerisinde çalıştırıp makinanıza yayılıyor mu ? appdata altına bişeyler yazmaya çalışıyor mu ? veya dosyalarınızı şifreliyor mu ? bu gibi durumları burada öğrenebilirsiniz. Yani zararlıyı tamamen izole alanda analiz edebilirsiniz.

Symantec SONAR Nedir ?

Symantec bu ürünü WholeSecurity’ den satın alıp kendi uygulamasına entegre etti. Asıl odağı Truva ,malware ,e postadan gelen zararlılar ve zeroday e karşı koruma sağlamayı hedefliyor. Sonar sezgisel analiz kullanır. Bu da aslında henüz zeroday olan ve imza bilgileri Symantec database lerde olmayan zararlılardan korunmanızı sağlar.

Son olarak da virus programınızın olmadığını varsayalım. Size bir mail geldi ve açmayı düşünüyorsunuz. Mailde From, to ve Subject Kısımlarına bir göz atın.

FROM : Turkcell Maili nasıl @demirhanelektrik.com diye bir yerden gelir.

To: Garip değil mi Webmaster diye bir yere mail atıyorlar.

Subject : Gramer’ i zorlamışlar ama sanki olmamış gibi. Hesabınız elinizde mi yazarsınız yoksa Ekim Faturanız Ektedir gibi bir tabir mi kullanırsınız ?

Umuyorum Faydası Dokunmuştur

Hasan DİMDİK

Enterprise Mobility MVP

Leave your vote

0 points
Upvote Downvote

Comments

0 comments

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.