[더테크 뉴스] 인섹시큐리티는 21일 악성코드 분석 솔루션 기업 조시큐리티가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 v36을 공개했다고 밝혔다.

코드 네임 ‘레인보우 오팔(Rainbow Opal)’로 출시된 이번 릴리즈는 윈도우 11 가상/리얼 분석 머신과 맥OS 몬터레이 리얼 머신을 비롯해 안드로이드 12 가상 분석 머신을 추가로 지원한다. 또한 리버스 엔지니어링 도구인 ‘프리다’와의 연동을 지원해, 안드로이드 쿡북에서 프리다 스크립트를 사용해 안드로이드 샘플을 조작해 분석할 수 있도록 지원한다.  

조샌드박스 v36에는 200개의 새로운 악성코드 시그니처가 추가돼, ▲클라우드멘시스(CloudMensis) ▲알키미스트(Alchimist) ▲래퍼봇(RapperBot) ▲크립트캣(CryptCat)을 비롯해 ▲Tifa Downloader ▲Prestige Ransomware ▲ MagicRAT ▲Luna Logger ▲Manjusaka ▲DagonLocker 등의 최신 악성코드를 신속 정확하게 탐지해 분석 할 수 있도록 지원한다. 또한 ▲ErbiumStealer ▲CryptBotv2 ▲LummaC  등 13개의 새로운 멀웨어 구성 추출기(Malware Configuration Extractor)가 추가됐다.  

조샌드박스의 행위 시그니처는 샌드박스 제품에서 가장 중요한 동적 분석 시 발생하는 행위에 대한 정의이다. 악성코드 분석 시 악성코드가 동작하는 모든 행위에 대한 정보를 식별해 각 행위 별로 정상/의심/악성으로 판별할 수 있는 조샌드박스는 업계 최다 행위 시그니처를 제공하고 있다. 악성코드 구성 데이터에는 멀웨어 빌더를 통해 설정한 모든 C&C를 비롯해 랜섬웨어 타깃 확장자, 포트, 로그인 데이터 등 주요 멀웨어 설정값들이 포함된다.

조시큐리티는 한편 최근 HTML 드로퍼 샘플이 증가하고 있다고 경고하며, 이번 버전 업데이트를 통해 HTML 드로퍼 실행이 가능하도록 기능을 추가했다. HTML 드로퍼란 사용자에게 파일 다운로드를 유도하는 HTML 파일로, 분석 시스템을 우회하기 위에 캡차(Captcha) 기술로 화면에 나타나는 패스워드를 입력하도록 보호돼 있다. 이러한 보호 기법을 우회할 수 있도록 조샌드박스는 자동으로 패스워드를 인식‧입력해 분석을 지원하도록 업데이트했다.

이번 업데이트에는 또한 웹 인터페이스 개선도 포함돼 있다. 복잡한 검색을 수행할 수 있는 고급 검색 기능이 새롭게 추가됐고, 시그마(Sigma) 규칙을 관리하기 위한 API가 제공된다.

이 밖에 조샌드박스 레인보우 오팔에 추가된 기능들로는 ▲ HTTPS 구문 분석(DoH)을 통한 DNS ▲스트림 기반 이벤트 로그 캡처 ▲몇 가지의 성능 개선 사항 ▲ 삭제된 파일 기반 제외 목록 ▲웹 API에 IOC 검색 ▲CHM 샘플에 대한 정적 파서 ▲ 웹 인터페이스에서 화이트리스트 샘플의 시각화 ▲ APK 서명 v2 및 v3에 대한 지원 ▲몇 가지의 새로운 탐지 및 회피 트릭 등이 있다.  

조시큐리티 조샌드박스 공식 총판사 인섹시큐리티 김종광 대표는 “악성코드 샘플이 빠르게 증가하고 있는 만큼 정교하고 광범위한 탐지가 중요해졌다”며 “인섹시큐리티는 업계 최다 행위 시그니처를 지원하는 조샌드박스와 자사의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피, S2W사의 다크웹 위협 정보 분석 플랫폼 퀘이사를 연동함으로써 강력한 통합 보안 환경을 제공한다”고 말했다.