반응형
Sandbox(샌드박스)
Sandbox란 의심스러운 파일이나 프로그램을 실제 시스템과 격리된 안전한 환경에서 실행하여 악성 여부를 분석하는 기술입니다.
쉽게 말하면,
"의심스러운 파일을 안전한 실험실에서 실행해 보는 것"입니다.
왜 사용할까?
예를 들어 이메일로
견적서.pdf.exe
라는 파일이 왔다고 가정해보자.
바로 실행하면 PC가 감염될 수 있다.
그래서 샌드박스에서 먼저 실행해 본다.
분석 과정
의심 파일 수신
↓
Sandbox에서 실행
↓
행위 분석
↓
악성 여부 판단
↓
사용자에게 전달 또는 차단
Sandbox가 확인하는 것
실행 후
- 파일 생성 여부
- 레지스트리 변경
- 프로세스 생성
- C2 서버 통신
- Beaconing
- 랜섬웨어 행위
- PowerShell 실행
- 네트워크 접속
등을 분석한다.
예시
악성 파일 실행
↓
Sandbox 결과
✔ cmd.exe 실행
✔ PowerShell 실행
✔ C2 서버 접속
✔ 파일 암호화 시도
↓
악성코드로 판정
Sandbox의 장점
- 실제 PC 감염 방지
- 신종 악성코드 분석 가능
- 제로데이 공격 탐지에 도움
- IOC 생성 가능
- 위협 헌팅 자료 확보
한계
공격자도 샌드박스를 의식한다.
예를 들어
- VM(가상환경) 여부 확인
- 10분 이상 기다렸다 실행
- 마우스 움직임이 없으면 종료
같은 방식으로 샌드박스 분석을 회피하기도 한다.
관련 용어
- 제로데이(Zero-Day) : 알려지지 않은 취약점을 이용한 공격으로, 샌드박스가 탐지에 활용될 수 있음
- C2(Command and Control) : 샌드박스는 실행 중 C2 서버와의 통신 여부를 분석
- Beaconing : 주기적인 C2 통신 패턴 확인
- YARA : 샌드박스 분석 결과를 바탕으로 탐지 규칙을 만들 때 활용
반응형
'보안용어' 카테고리의 다른 글
| [보안용어]_커베로스팅(Kerberoasting) (0) | 2026.07.03 |
|---|---|
| [보안뉴스]_침입 탐지 시스템(IDS, Intrusion Detection System) (0) | 2026.07.01 |
| [보안용어]_DGA (Domain Generation Algorithm) 도메인 생성 알고리즘 (0) | 2026.06.29 |
| [보안용어]_SOAR(보안 오케스트레이션, 자동화 및 대응) (0) | 2026.06.26 |
| [보안용어]_C2 서버(Command & Control Server, C&C 서버) (0) | 2026.06.25 |
