디지털 포렌식, 모바일 포렌식, 드론 포렌식, 가상자산 추적 및 포렌식, 악성코드 및 침해사고 분석 대응 전문업체인 인섹시큐리티(대표 김종광, www.insec.co.kr)는 오늘, 디지털포렌식 및 정보보안 전문업체인 인섹시큐리티(대표 김종광, www.insec.co.kr )는 오늘, 악성코드 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 v38을 공개했다고 밝혔다.

조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직, OEM 서버는 코드 네임 ‘암몰라이트(Ammolite)’로 출시된 이번 릴리즈를 통해 업그레이드가 완료됐다. 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.

이번 릴리즈에는 334개의 야라(Yara) 및 행위 시그니처(Behavior signatures)가 추가되어, 러스트버킷(RustBucket), 아모스 스틸러(AMOS Stealer), 리얼스트(Realst), 카마로 드래곤(CamaroDragon), 에빌 미니오(Evil Minio), 미스틱 스틸러(Mystic Stealer), 나이트크립트(KnightCrypt), 페이올라(Payola), 노이스케입로커(NoEscapeLocker), 퓨터크립터(Purecrypter) 등과 같이 다양한 최신 멀웨어를 정확하게 탐지한다. 또한 다크게이트(DarkGate), 파버티 스틸러(Poverty Stealer), 등 18개의 멀웨어 구성 추출기가 추가됐다.

이와 함께 조샌드박스 v38은 보다 심층적인 분석과 탐지를 위해 EML 및 MSG(Outlook)와 같은 저장된 이메일 포맷도 업로드가 가능하다. 더불어 자바스크립트와 ZIP 파일 및 이메일을 위한 새로운 파일 파서(parer)를 제공한다. MSG 파서를 통해 파일에 담긴 이미지 또한 피싱 엔진으로 추출 및 탐지할 수 있다.

멀웨어 샘플은 패킹 외에도 정적 분석을 방해하기 위해 문자열 암호화를 사용한다. 조샌드박스는 20여개의 문자열 복호화 기법을 제공해 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다.

조샌드박스 암몰라이트는 또한 HTML, XML, XML, XML, XML 등의 파일에 숨겨진 페이로드가 늘어나고 있는 추이에 대응해 이와 관련된 공격을 탐지하는 기능을 확대했다. 새로운 행위 시그니처를 비롯해 동적 추출을 위한 추가적인 모듈 및 정적 규칙들을 제공한다.

이와 함께 QR코드 피싱(Quishing)을 차단하기 위해 자동으로 QR 이미지를 디코딩하여 내장된 페이로드를 자동으로 처리한다. PNG, JPEG, GIF 등의 이미지는 물론 PDF, 워드, EML/MSG 등의 파일을 모두 지원한다.

또한 Apple Silicon 기반의 Mac 기기와 연동되어 M Series Chip에서 동작하는 macOS 악성코드를 자동으로 분석하고, 이에대한 결과를 확인할 수 있다.

분석 개요 화면은 조샌드박스 웹(Joe Sandbox Web) 인터페이스의 핵심이다. 현재 완료된 모든 분석 결과와 이전 분석 결과를 비교할 수 있으며, 한 번의 클릭으로 전체 분석 보고서, 실행 보고서 또는 IOC 보고서를 확인할 수 있다.

이 밖에도 조샌드박스 v38 암몰라이트는 다음과 같은 향상된 기능을 제공한다.

l   Windows 10/11 22H2 지원

l   OneNote 링크 분석

l   SVG에 대한 피싱 탐지

l   COM Dll 로딩 탐지

l   Linux 및 Mac 리포트에 메모리 덤프 정보 추가

l   Android 메모리 문자열에 대한 Yara 검색 추가

l   러스트(Rust)와 고랭(GoLang)의 프로그래밍 언어 검출 기능

l   메모리 덤핑에 대한 필터링 강화

l   향상된 .Net 디컴파일(ILSpy)

l   CNN을 통해 피싱 탐지 정밀도 개선

l   손상된 APK(zip header) 파일 분석 기능 향상

l   DMG 파일 탐지 기능 향상

l   DMG 파일 정적 분석 개선

l   VBS 스크립트 시작 개선

l   네트워크 노이즈 필터링 개선

l   크롬 다운로드 자동화 향상

조시큐리티 ‘조샌드박스’의 공식 총판사 인섹시큐리티의 김종광 대표는 “악성코드 유포 수법이 다변화되고 있어 광범위하고 정밀한 탐지 환경을 구축하는 것이 그 어느때보다 중요해졌다. 인섹시큐리티는 조샌드박스와 자사의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피(Criminal IP), S2W사의 다크웹 위협 정보 분석 플랫폼 퀘이사(Quaxar), 네트워크 위협탐지 전문기업 쿼드마이너(Quad Miners)를 연동해 물 샐 틈 없는 통합 보안 환경을 제공한다”고 말했다.