Sandbox 솔루션을 활용한 악성코드 분석

샌드박스란?

현재 시중에 소개되어 보안 제품으로 유통되는 샌드박스 제품들은 VM 구성을 통한 사용자 OS 환경을 가상으로 구축하고, 구축 된 VM OS 상에 의심되는 파일을 업로드하여 행위를 분석 하는데 기본적으로 그 초점이 맞추어져 있다. 실제로 가상 OS 환경에서 해당 파일을 실행 하였을 때 벌어지는 Behavior 들을 감사하여 개발사에서 제공하는 특정 패턴이나 시그니처, 인디케이터, 룰을 통해 해당 파일에 대한 점수를 부여하고, 수상한 행위가 많을 수록 악성에 가깝다라는 평가를 내어 준다.

Behavior를 탐지하는 범위는 제품마다 차이가 있고 개발사에서 말하고자 하는 용도에 따라 활용도에서의 차이가 존재한다. 일반적으로 이러한 솔루션에서는 화이트리스트 처리가 없다면 대부분이 외산 제품인 관계로 국산 개발사들에서 나온 툴바나 패치, 관련 에이전트들은 악성 점수가 높게 나온다..

1. 레지스트리, 파일, 폴더 생성/삭제 및 위변조

2. 서비스 등록

3. 부모 및 자식 프로세스 생성, 터미네이트

4. LISTENING 포트 오픈

5. 네트워크 활동

... 등 전반적인 OS Kernel&Process 단에서 벌어지는 Behavior 에 대해 감사 하는 경우가 많으며, 개발사의 선택에 따라 인텔리전스 서비스가 들어가 평판 정보를 이용한 분석도 가능하다. 상용/비상용 Feed 나 Virustotal 과 같은 알려진 Reputation 서비스 등을 활용하는 경우도 볼 수 있다.

6. 네트워크 활동 + 접속한 목적지 IP의 평판정보 - 알려진 악성 도메인인지?

7. 생성 뮤텍스 감사 - 특정 악성코드에서 쓰는 뮤텍스를 담고 있진 않은지?

8. File Hash 평판 정보 - 알려진 악성 파일인지?

샌드박스 사용 효과?

기본적으로 기업에서는 침해사고 대응을 위해 파일에 대한 악성 검사를 수행한다. 다만, 파일 분석 분야에서 Legacy 제품군들의 경우 파일의 헤더 정보만 살펴보는 정적 분석이나, 해당 제품이 알고 있는 시그니쳐나 패턴을 기반으로 Known Malicious 만을 탐지하는데, 샌드박스 제품의 경우 해당 파일을 VM OS 상에서 직접 수행하고, 플러그인 등을 통해 사람이 직접 버튼을 클릭하는 것과 유사한 고스트 효과를 집어넣음으로써, 운영 체제에서 해당 파일이 실행 되었을 때 실질적으로 어떤 변화가 일어 나는지 모니터링 하고, 해당 행위에 대한 인디케이터나 패턴을 기반으로 점수를 측정하기 때문에, 기존의 시그니처, 패턴 방식에 더해져 Unknown  Malicious 에 대한 분석의 여지를 준다. 하지만 앞서 설명한 대로, 악성으로 보이는 행위를 하고 있는 것을 탐지 한 것이기에, 정상 프로그램이 악성과 같이 보이는 행위를 하는 경우에 대해서도 탐지 된다. 그러므로 실질적으로는, 전문 분석 인력이 없는 한 운영이 까다롭고, 악성인지 판별해 주기 원하는 고객의 니즈를 충족하기엔 
어려운 특성을 가지고 있으며, 이에 대해서 실제 운용 기업의 경우 타 제품의 인텔리전스나 평판 정보를 활용하거나, 여러 제조사의 샌드박스를 놓고 교차 검증하는 사용 사례가 있다. 실제적으로 리버싱 가능한 인력을 보유하고 해당 인력에게 코드를 뜯어보게 끔 하는 형태의 서비스는 거의 하지 않는다..

샌드박스 활용 방안?

(1) 단독 사용 : 기업 내 의심스러운 파일을 수동 또는 API 형태로 파일을 업로드하여, 분석 점수를 측정하는 형태로 단독 사용 하는 사례.

(2) 파일 분석 자동화 : 네트워크 포렌직 장비 등 트래픽을 수집/분석 하는 솔루션에서 파일을 추출하는 기능을 이용해 샌드박스로 전달하여 분석하게 하는 사례

(3) 이기종 샌드박스 평행 분석을 통한 분석 신뢰도 향상 :  중간 파일 브로커 역할을 하는 서버를 구성하고, 각 다양한 제조사의 샌드박스가 해당 서버 내의 분석 대상 파일들을 자동적으로 분석하여 점수를 표현함, 이 때 각 제조사의 API 또는 파일 Upload 기능을 최대한 활용하고, 필요 시 배치 스크립트 등을 통해 파일 브로커 서버 -> 샌드박스로 업로드 하게끔 구성.  추가적으로 나온 결과값을 받아 특정 웹 서버에 점수를 중앙에서 받아 볼수 있으면 금상첨화.