반응형

Sandbox(샌드박스)

Sandbox의심스러운 파일이나 프로그램을 실제 시스템과 격리된 안전한 환경에서 실행하여 악성 여부를 분석하는 기술입니다.

쉽게 말하면,

"의심스러운 파일을 안전한 실험실에서 실행해 보는 것"입니다.

 

 

왜 사용할까?

예를 들어 이메일로

견적서.pdf.exe
 

라는 파일이 왔다고 가정해보자.

바로 실행하면 PC가 감염될 수 있다.

그래서 샌드박스에서 먼저 실행해 본다.


분석 과정

의심 파일 수신
      ↓
Sandbox에서 실행
      ↓
행위 분석
      ↓
악성 여부 판단
      ↓
사용자에게 전달 또는 차단
 

Sandbox가 확인하는 것

실행 후

  • 파일 생성 여부
  • 레지스트리 변경
  • 프로세스 생성
  • C2 서버 통신
  • Beaconing
  • 랜섬웨어 행위
  • PowerShell 실행
  • 네트워크 접속

등을 분석한다.


예시

악성 파일 실행

Sandbox 결과

✔ cmd.exe 실행
✔ PowerShell 실행
✔ C2 서버 접속
✔ 파일 암호화 시도
 

악성코드로 판정


Sandbox의 장점

  • 실제 PC 감염 방지
  • 신종 악성코드 분석 가능
  • 제로데이 공격 탐지에 도움
  • IOC 생성 가능
  • 위협 헌팅 자료 확보

한계

공격자도 샌드박스를 의식한다.

예를 들어

  • VM(가상환경) 여부 확인
  • 10분 이상 기다렸다 실행
  • 마우스 움직임이 없으면 종료

같은 방식으로 샌드박스 분석을 회피하기도 한다.


관련 용어

  • 제로데이(Zero-Day) : 알려지지 않은 취약점을 이용한 공격으로, 샌드박스가 탐지에 활용될 수 있음
  • C2(Command and Control) : 샌드박스는 실행 중 C2 서버와의 통신 여부를 분석
  • Beaconing : 주기적인 C2 통신 패턴 확인
  • YARA : 샌드박스 분석 결과를 바탕으로 탐지 규칙을 만들 때 활용

 

반응형

+ Recent posts