인섹시큐리티는 오늘, 악성코드 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 v36을 공개했다고 밝혔다.

 

코드 네임 ‘레인보우 오팔(Rainbow Opal)’로 출시된 이번 릴리즈는 윈도우 11 가상/리얼 분석 머신과 맥 몬터레이(Monterey) 리얼 머신을 비롯해 안드로이드 12 가상 분석 머신을 추가로 지원한다. 또한 리버스 엔지니어링 도구인 ‘프리다(Frida)’와의 연동을 지원해, 안드로이드 쿡북(Cookbook)에서 프리다 스크립트를 사용해 안드로이드 샘플을 조작하여 분석할 수 있도록 지원한다. 프리다 아웃풋은 상세 분석 페이지에서 추가로 다운로드 받을 수 있다.

 

조샌드박스 v36에는 200개의 새로운 악성코드 시그니처가 추가되어, ‘클라우드멘시스(CloudMensis)’, ‘알키미스트(Alchimist)’, ‘래퍼봇(RapperBot)’, ‘크립트캣(CryptCat)’을 비롯해 Tifa Downloader, Prestige Ransomware, MagicRAT, Luna Logger, Manjusaka, DagonLocker 등의 최신 악성코드를 신속 정확하게 탐지하여 분석 할 수 있도록 지원한다. 또한, ErbiumStealer, CryptBotv2, LummaC, Eternity Stealer and PhoenixRAT 등 13개의 새로운 멀웨어 구성 추출기가 추가되었다.

 

조샌드박스의 행위 시그니처는 샌드박스 제품에서 가장 중요한 동적 분석 시 발생하는 행위에 대한 정의이다. 악성코드 분석 시 악성코드가 동작하는 모든 행위에 대한 정보를 식별하여 각 행위 별로 정상/의심/악성으로 판별할 수 있는 조샌드박스는 업계 최다 행위 시그니처를 제공하고 있다. 악성코드 구성 데이터에는 멀웨어 빌더(Malware Builder)를 통해 설정한 모든 C&C를 비롯해 랜섬웨어 타깃 확장자, 포트, 로그인 데이터 등 주요 멀웨어 설정 값들이 포함된다.

 

조시큐리티는 한편 최근 HTML 드로퍼(HTML Droppers) 샘플이 증가하고 있다고 경고하며, 이번 버전 업데이트를 통해 HTML 드로퍼 실행이 가능하도록 기능을 추가하였다. HTML 드로퍼란 사용자에게 파일 다운로드를 유도하는 HTML 파일로, 분석 시스템을 우회하기 위에 캡차(Captcha) 기술로 화면에 나타나는 패스워드를 입력하도록 보호되어 있다. 이러한 보호 기법을 우회할 수 있도록 조샌드박스는 자동으로 패스워드를 인식/입력하여 분석을 지원하도록 업데이트 했다.

 

이번 업데이트에는 또한 웹 인터페이스 개선도 포함되어 있다. 복잡한 검색을 수행할 수 있는 고급 검색 기능이 새롭게 추가됐고, 시그마(Sigma) 규칙을 관리하기 위한 API가 제공된다.

 

조시큐리티 ‘조샌드박스’의 공식 총판사 인섹시큐리티의 김종광 대표는 “악성코드 샘플이 빠르게 증가하고 있는 만큼 정교하고 광범위한 탐지가 중요해졌다. 인섹시큐리티는 업계 최다 행위 시그니처를 지원하는 조샌드박스와 자사의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피(Criminal IP), S2W사의 다크웹 위협 정보 분석 플랫폼 퀘이사(Quaxar)를 연동함으로써 강력한 통합 보안 환경을 제공한다”고 밝혔다.

 

#조시큐리티#조샌드박스#인텔리전스#퀘이사#