[악성코드 분석 입문] 샌드박스란?

1. 샌드박스란?

​샌드박스(SandBox)란 가상PC에 악성코드를 실행하고 행위를 기록하는 시뮬레이션 도구입니다.

​

실제로 사용하고 있는 PC에 악성코드를 사용하면 감염이 됩니다. 이 문제를 해결하기 위해 감염이 되어도 상관없는 가상PC가 나오게 되었습니다. 샌드박스는 가상PC를 기반으로 만들어진 프로그램으로 악성코드가 가상PC에 실행하면서 변화되는 행위를 자동으로 기록을 남기고 분석합니다. 각 백신기업은 샌드박스 프로그램을 구현한 제품이 있습니다.

안랩에서 공개한 샌드박스 보고서

 

​

microsoft에서 공개한 샌드박스 보고서(출처:  https://www.microsoft.com/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/ )

 

---

2. 백신기업이 샌드박스를 공개하지 않은 이유

​

백신기업 샌드박스는 공개가 되어 있지 않으므로 일반인은 사용할 수 없습니다. 공개하지 않은 이유는 회사의 밥벌이인 이유도 있지만 공개되면 악성코드 개발자가 샌드박스를 분석하고 탐지를 회피하는 악성코드를 만들기 때문입니다. 그 사례로 2020년 7월에 저희가 사용할 애니런 샌드박스에서 실행되지 않은 악성코드가 발견되었습니다.

※ 사례 소개: https://malwareanalysis.tistory.com/63

​

---

3. 무료 샌드박스 목록

​

저희는 백신기업의 샌드박스는 사용하지 못하므로 무료 샌드박스를 사용합니다. 대표적으로 애니런, cape, hyrbid-analysis 등이 있습니다. 이 문서에서는 애니런, cape샌드박스를 사용합니다.

샌드박스 이름	링크
anyrun 샌드박스	https://app.any.run/
Triage 샌드박스	https://tria.ge/reports/public
cape 샌드박스	https://www.capesandbox.com/submit/
interzer 샌드박스	https://analyze.intezer.com/
app 샌드박스	https://app.sndbox.com
threatbook 샌드박스	https://s.threatbook.cn/
hybrid-analysis	https://www.hybrid-analysis.com/
cuckoo 샌드박스	https://cuckoo.cert.ee/