GUIDE Offline sandbox kurulum rehberi

[XenConsept]

Aşağıda tam gizlilik isteyen kullanıcılar ve kurumlar için hazırlanmış, profesyonel seviyede Offline Sandbox Kurulum Rehberi bulunuyor.
Bu rehberde hiçbir bulut servisi, online bağlantı veya dış servis gerektiren bir aşama yoktur.
Sistem tamamen kapalı devre, izole, dışarı veri çıkarmayan bir yapıda çalışır.
Her aşama ileri görüşlü bir güvenlik perspektifi ile yazılmıştır.

TAM GİZLİLİK (AIR-GAPPED) OFFLINE SANDBOX KURULUM REHBERİ​

Bu kurulum, saldırı analiz ekipleri, adli bilişim uzmanları ve yüksek gizlilik standartlarına sahip kullanıcılar için tasarlanmıştır.

1) Hedef: Veri + Sistem İzolasyonu​

Offline sandbox’ın ana kriteri:

• İnternete çıkamaz
• LAN’a çıkamaz
• Host makineyi göremez
• USB dahil hiçbir fiziksel kanal açılamaz
• Paylaşılan klasör yasaktır

Ama buna rağmen dosya davranış analizini, system call, registry, process tree, file I/O, network simulation gibi tüm aktiviteleri gözlemleyebilir.
Bu nedenle kurulumda iki temel teknoloji gerekir:

✔ Virtualization​

• VirtualBox
• VMware Workstation / ESXi
• QEMU/KVM

✔ Network Emulation (Fake LAN/Internet)

• INetSim (offline internet simülasyonu)
• Fake DNS, fake HTTP, fake SMTP, fake FTP vb. üreten lokal sunucu

2) Kurulum Senaryosu (Önerilen Mimari)​

A. Host Makine (Temel Sistem)

• Windows veya Linux olabilir.
• Üzerine yalnızca sanallaştırma yazılımı kurulur.
• Antivirus, loglama ve snapshot araçları bulunur.
• Ağ bağlantısı vardır ama sandbox ile doğrudan hiç iletişime girmez.

B. Isolated Sandbox VM (Konuk Sistem)

• Windows 10 / Windows 11 / Windows Server
• Ağ kartı: NAT yok, Bridge yok, Host-Only veya Internal Network
• USB pasif
• Shared Folder pasif
• Drag & Drop pasif

Bu VM zararlıların çalıştırıldığı izolasyon alanıdır.

C. Fake Network (Opsiyonel – Gelişmiş Tavsiye)
INetSim ile kurulan Offline İnternet Ortamı:

• Sahte HTTP cevapları
• Sahte DNS çözümleri
• Sahte SMTP, FTP, POP3, IRC, HTTPS davranışları
• Malware “internet var sanarak” aktivitelerini sergiler

Bu sayede dosya internete çıkamadığı hâlde davranışları gözlemlenebilir.

3) SANALLAŞTIRMA ORTAMI KURULUMU​

Aşağıdaki örnek VirtualBox üzerinden anlatılıyor.

➤ Adım 1: Yeni VM Oluştur

• Tür: Windows
• Bellek: 4–8 GB
• Disk: 60–80 GB
• CPU: 2–4 çekirdek (VM kaçmasın diye sınırlı bırakılır)

➤ Adım 2: Ağ Kartını İzole Et
Ayarlardan → Network:

• Attached to: Internal Network
  ya da
• Host-Only Adapter

Asla NAT veya Bridged kullanmayın.

➤ Adım 3: Paylaşımları Kapat

• Shared Folders: Kapalı
• Drag & Drop: Disabled
• Clipboard: Disabled
• USB Controller: Disabled

Bu adım tam gizlilik için zorunludur.

➤ Adım 4: Windows Kur ve Güncelle

Offline Windows ISO kullanılır.
Gerekirse ayrı bir offline güncelleme paketi uygulanır (WSUS offline update).

4) Offline Araçların Kurulumu​

Sandbox içinde çalışacak olan analiz araçları tamamen offline versiyonlardır:

✔ Process Monitor (Sysinternals)
✔ Process Explorer
✔ RegShot
✔ Fiddler (Offline HTTP capture)
✔ Wireshark (Local-only trafik analizi)
✔ ApateDNS (Sahte DNS üreten tool)
✔ INetSim (Ubuntu üzerinde çalışan sahte internet)
✔ Noriben (Python tabanlı sandbox script)
✔ Cuckoo Sandbox (Opsiyonel – offline konfigüre edilebilir)

Tüm araçlar internetsiz dağıtım paketleri kullanılarak kurulur.

5) INetSim ile Sahte İnternet Ortamı (Gizli Ağ)​

A. Ayrı Bir Linux VM Kurun

• Bağlantı: Internal Network (aynı segment)
• INetSim kurulur

B. Linux VM’de INetSim’i Başlat

İnternet bağlantısı yoktur fakat:

• HTTP sunar
• DNS çözümü yapar
• Sahte cevaplar döner

Malware aşağıdaki gibi davranır:

• “Internet alive” → Devam eder
• C2 isteği → Fake server cevabı döner
• DNS lookup → Fake IP döner
• HTTP request → Simülasyon kaydeder

Bu VM çok kritik çünkü gizli ortamda bile davranış analizi tamamlanır.

6) Snapshot Sistemi

Sandbox’ın en kritik güvenlik katmanı:

✔ “Clean State” Snapshot​

Her zararlı analizinden önce bu temiz görüntü geri yüklenir.

Bu sayede:

• Sistem hiçbir kalıcı zarar görmez
• Malware kalıntısı sıfırlanır
• Analizler tutarlı olur

7) Dosya Transferi: En Güvenli Yöntem

Offline sandbox’a dosyayı aktarmak için iki güvenli yöntem vardır:

1) ISO Mount

• Host’ta ISO oluştur
• VM’ye sadece “Read-Only” tak

2) Bağımsız Sanal Disk

• İkinci bir sanal disk oluştur
• Host’ta bağlayıp dosyayı içine koy
• VM’ye bağlayıp sadece “Read-Only” olarak işaretle

Paylaşılan klasör asla kullanılmaz.

8) Sandbox İçindeki Analiz Süreci​

1. VM temiz snapshot’a alınır
2. Araçlar çalışmaya hazır hâle getirilir
3. Malware dosyası ISO/diske kopyalanır
4. Process Monitor başlatılır
5. Wireshark local network capture başlatılır
6. Dosya çalıştırılır
7. Aşağıdaki aktiviteler izlenir:
   
   • Yeni dosya oluşturma (file I/O)
   • EXE, DLL, JS, PS1 düşürme
   • Yeni process spawn (cmd, powershell, wscript)
   • Registry ekleme
   • Network bağlantı denemeleri
   • Zamanlayıcı oluşturma
   • Persistence girişimleri
   • Şifrelenen dosyalar
   • Sistem ayar değişiklikleri
8. Çalışma tamamlandıktan sonra rapor alınır
9. Snapshot eski haline döner → Temiz sistem

9) Ek Güvenlik Katmanları
✔ VM Escape önlemleri

• 3D acceleration kapalı
• Guest additions kısıtlı
• Clipboard kapalı
• VirtualBox/VMware güncel

✔ Host’u koruma

• Host makinede asla malware dosyası açılmaz
• Sadece “salt okunur disk” ile taşınır

✔ Log Yönetimi

Sandbox logları asla internete çıkarılmaz
Sadece air-gapped ortamda saklanır.

10) Gelişmiş Seviye: Offline Cuckoo Sandbox​

Cuckoo, tamamen offline ayarlanabilir.
Mimari:

• Linux host (Cuckoo Server)
• Windows Guest (Analysis VM)
• INetSim
• Internal Network segmenti

Bu sistem, otomatik:

• Process Tree
• IOC çıkarma
• Network log
• Yüklenen payload
• Registry diff
• Memory dump

gibi gelişmiş raporlar üretir.

Tam izolasyonlu Cuckoo, kurumsal SOC’larda kullanılan profesyonel standarttır.