Sandbox arkasındaki fikir basittir- bir dosyayı açmak ve davranışını izleyip analiz ederek iyi huylu veya kötü niyetli olup olmadığını belirlemek için yalıtılmış, güvenli bir ortamdır. Sandbox, programın sanal alan tarafından izlenen ve kaydedilen tüm işlemlerini yürütmesine ve gerçekleştirmesine izin verir. Belirli bir süre sonra, sandbox programı durdurur ve kötü niyetli etkinlikler ve olay izlerinin davranışlarını analiz eder.

Sandboxlar imzalara güvenmediğinden, güvenlik araştırmacılarının ve AV araçlarının henüz görmediği veya değerlendirmediği sıfır gün veya yüksek hedefli kötü amaçlı yazılımları tespit etmeleri bile mümkündür. Ancak, tüm sandbox lar eşit şekilde oluşturulmaz. Bir sandbox geliştirirken, satıcılar üç mimariden birini kullanır: sanallaştırma, işletim sistemi (OS) emülasyonu ve donanım (tam sistem) emulasyonu.

Sanallaştırma

Çoğu sanal ürün sanallaştırmayı kullanır. Bu ürünler, farklı sanal ortamların yürütülmesini kontrol etmek için bir “hypervisor” kullanarak, tek bir donanım parçasının analiz edebildiği dosya hacmini optimize etmek için sanal makinelerde çalışır.

Hypervisor denetim için kötü amaçlı yazılımın denetiminden kaldırıldığı zaman aralığı boyunca, kötü amaçlı yazılım ve işletim sistemi doğrudan sistem donanımında çalışır. Performans, potansiyel olarak mağdurun makinesinde çalıştırıldığı zamankiyle aynıdır. Bununla birlikte, suçlular kötü amaçlı yazılımları sanallaştırılmış bir sistemi keşfetmek için tasarlanan kaçakçılık tekniklerini de içerecek şekilde uyarladılar ve ardından tespit edilmesini önlemek için davranışlarını değiştirdiler.

Kaçınma özelliklerine sahip kötü amaçlı yazılımların oldukça fazladır ki bu yetenekleri ile bilinen sanal platformları kullanan sandbox çözümlerini kolaylıkla atlatabilmektedirler.Sanallaştırma ayrıca sanal alanın görebileceği şeyleri önemli ölçüde sınırlar. Sanal alan OS’ye çağrıları gözlemleyebilirken, kötü amaçlı yazılımın dahili olarak bu aramalarla ne yaptığını göremez. Sanallaştırmaya dayalı bir sanal alan yalnızca tehdidin bir kısmını görebileceğinden, ön kapıda bir güvenlik kamerası olan bir müzeye benzeyebilir, ancak arka kapı için kamera yok ve müzenin içinde kamera yok.

Kötü amaçlı yazılımların temel biçimleri için etkili olsa da, sanallaştırma tabanlı sanal alanlar, modern ve kötü amaçlı kötü amaçlı yazılımları algılamak için yetersiz donanımlara sahiptir.

İşletim Sistemi Emulasyonu

Bazı sandbox lar işletim sistemini taklit eder. Buradaki fikir, işletim sistemini taklit ederek sandbox’ın, kötü amaçlı yazılımın yaptıklarına daha fazla görünürlük sağlamasıdır. Bu, emülasyon temelli teknolojilerin sınırlı görünümü üzerinde bir dizi avantaj sağlar. Yani, teoride, bu sağlam bir yaklaşım gibi görünüyor.Ancak, tüm bir işletim sistemini emule etmeye çalışmak, benzer windows işletim sistemlerini kullanmayı ve piyasadaki diğer tüm işletim sistemlerini emule etmeyi gerektirecektir. Bu elbette mümkün değil. Bu nedenle, geliştiriciler işletim sisteminin sadece bölümlerini taklit eder – en yaygın ve uygulanabilir sistem çağrıları. Sorun, siber suçluların bu yaklaşımı yakalaması ve gelişmiş kötü amaçlı yazılımların, sandbox ın desteklemediği seyrek olarak kullanılan sistem çağrılarını uyandırmasıdır. Bu, kötü amaçlı yazılımların OS emulasyonuna dayalı olarak sanal alanları algılamasını ve atlatmasını çok kolaylaştırır.

Donanım veya Tam Sistem Emulasyonu

Üçüncü ve en gelişmiş sandbox koruma yaklaşımı, CPU, bellek ve I / O aygıtları dahil olmak üzere tüm donanım sistemini emule eder. Bu yöntem herhangi bir yapaylık sunmadığından, sanallaştırma veya işletim sistemi emulasyonundan daha fazla algılanması daha zordur. Ayrıca, sanal alanın, CPU, bellek ve I / O aygıtlarının kullanımı dahil olmak üzere, kötü amaçlı yazılımın yaptığı her şeyi görüntülemesine izin veren Derin İçerik Denetimi sağlayan tek yaklaşımdır.

Tam sistem öykünmesi, sanal alanın kötü amaçlı yazılımla etkileşime girmesine de olanak tanır. Kötü amaçlı yazılım işletim sistemine bir çağrı yaptığında, sanal alan farklı sonuçlar verebilir ve kötü amaçlı yazılımın tepkisini değerlendirebilir veya farklı kod modüllerinin çalıştırılmasına neden olabilir.2017 NSS Labs İhlali Algılama Sistemi Testi gibi bağımsız çalışmalar, tam sistem emülasyonunun avantajlarını defalarca göstermiştir.Bu sebepten tercih edilecek çözümlerde Tam sistem emulasyonu ve networkte yer alan güvenlik duvarı,web gateway,email gateway,SIEM ve AV gibi çözümlerle entegre olabileni tercih etmek gereklidir.