디지털포렌식 및 네트워크 보안 전문업체인 인섹시큐리티(대표 김종광, www.insec.co.kr )는 오늘, 멀웨어 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 세계 최초로 베어 메탈(가상화가 되지 않은 물리 서버)에 대한 멀웨어 분석을 수행하는 악성코드 정밀 분석 어플라이언스(장비)인 ‘조 샌드박스(Joe Sandbox) A1’을 출시한다고 밝혔다.

조샌드박스 A1은 조 샌드박스 데스크톱(Joe Sandbox Desktop: 데스크톱 및 모바일 장비의 악성코드 분석 기능 탑재)이 설치된 초소형 NUC(Next Unit of Computing) PC 폼팩터 기반의 강력한 독립 형 장비다.

최근 대부분의 악성코드들은 샌드박스가 사용하는 가상머신을 쉽게 탐지하고 우회한다. 조샌드박스 A1은 VirtualBox, VMware 또는 KVM 과 같은 가상 머신을 사용하지 않고, 실제 물리 장비인 NUC(Next Unit of Computing) 하드웨어에서 악성코드 직접 정밀분석한다. 특히 조 샌드박스 A1은 HBI(Hypervisor Based Inspection: 하이퍼바이저 기반 검사) 기술을 사용하여 네트워크로 연결된 모든 운영체제의 악성코드 분석을 지원한다.

이와 함께 조 샌드박스 A1은 다양한 악성 행위를 탐지하고 분류하기 위해 959개 이상의 악성 행위 시그니처 기반 분석을 제공한다.

조 샌드박스 A1의 주요 기능은 다음과 같다.

- 베어 메탈 기반 서버 악성코드 정밀 분석: 조 샌드박스 A1은 VMware, KVM, Virtual Box와 같은 가상화 솔루션을 사용하지 않고 베어 메탈 기반으로 악성코드를 실행하고 분석한다. 이러한 특징으로 악성코드의 가상 머신 감지 및 우회를 차단 할 수 있다.

- HBI(Hypervisor Based Inspection: 하이퍼바이저 기반 검사) 기능 제공: 조 샌드박스 A1에는 HBI(Hypervisor Based Inspection: 하이퍼바이저 기반 검사)이 포함되어 있다. 해당 기술을 통해 유저모드(Usermode) 및 커넬모드(KernelMode)의 API와 시스템 콜(System Call) 및 메모리 운영 현황 등을 감시하고 추적하고 분석한다.

- 959개 이상의 행위 시그니처 제공: 조 샌드박스 A1은 셸코드(Shell Code: 공격자가 악성코드에 감염된 PC에 명령을 내리기 위해 사용하는 별도의 창(shell)을 실행하는 수법), 익스플로잇(Exploit), 확산(Spreading), 데이터 유출, C&C 통신 등 다양한 악성 행위를 탐지하고 분류하기 위해 959개 이상의 악성 행위 시그니처 기반 분석을 제공한다.

- 야라(Yara) 방식 지원: 조 샌드박스 A1은 좀 더 정교한 악성코드 탐지를 위해 야라 방식(Yara rule: 악성코드 위협을 확인하고 정리하기 위해 고안된 오픈 소스 툴)을 지원한다. 분석을 하는 모든 샘플, 다운로드 된 파일, 리소스 및 메모리 덤프를 야라 방식으로 검사한다. 또한 분석 데이터를 기반으로 다양한 야라 방식을 생성할 수 있다.

- 동적 VBA 분석 및 자바스크립트 분석: 조 샌드박스 A1은 MS Office(doc, docx, docxm 등)에 포함된 VBA(Visual Basic For Applications, 마이크로소프트 오피스 응용 프로그램용 언어) 매크로 및 자바스크립트(Javascript)의 모든 메소드 또는 API 호출을 모니터링한다. 모니터링 정보를 통해 콜(Call) 그래프를 생성하고 페이로드 URL을 탐지한다. 또한 VBA에 Hook을 설치하여 함수 매개 변수와 반환 값을 수정 할 수 있다.

- HCA(Hybrid Code Analysis: 하이브리드 코드 분석) 지원: 조 샌드박스 A1 의 HCA(Hybrid Code Analysis: 하이브리드 코드 분석) 기능은 정적 및 동적 분석을 결합하여 파일을 분석한다. 또한 파일 내 회피(evasion) 기능, 숨겨진 기능, 숨겨진 페이로드, 숨겨진 코드 등을 분석하여 정보를 제공한다.

- EGA(Execution Graph Analysis: 실행 그래프 분석) 지원: 조 샌드박스 A1의 EGA(Execution Graph Analysis: 실행 그래프 분석)는 파일의 실행 흐름을 분석하여 주요 API 호출 기능, 내부 함수 호출 등을 시각화하여 제공한다.

- SSL 프록시 기능 제공: 조 샌드박스 A1은 보안이 강화된 웹사이트인 HTTPS 트래픽을 검사하기 위해 SSL(Secure Socket Layer) 프록시 기능을 제공하며, HTTPS로 통신하는 데이터를 분석할 수 있다.

- 서드파티 통합(Third Party Integrations): 조 샌드박스 A1은 타사의 다른 도구와도 연동해서 사용할 수 있다. VirusTotal, MetaDefender, TheHive, Fame, MISP 및 CRIT와도 연동되며 Phantom, Viper, Malsub 와도 통합된다.

- RestFul WEB API 제공: 조 샌드박스 A1은 RestFul WEB API를 제공하기 때문에 기존의 위협 인텔리전스 시스템과 연동할 수 있으며 다양한 확장성을 가지고 있다.

- 쿡북(CookBook) 기능 지원: 조 샌드박스 A1은 CookBook 기능을 지원하며, 해당 기능을 통해 악성코드 분석 중 사용자의 동작을 스크립트를 통해 정의할 수 있다.

- IDA Pro지원: 조 샌드박스 A1은 메모리 덤프 파일(프로그램 디버그 또는 시스템 테스트의 목적을 위해 기록되는 파일) 및 분석된(UnPacking) 실행(PE) 파일을 제공하여 분석할 수 있는 IDA Pro(컴퓨터 소프트웨어 용 디스어셈블러이다. 디스어셈블러는 기계어 코드로부터 어셈블리어 소스 코드를 생성한다. 이것은 다양한 실행 파일과 중앙 처리 장치 그리고 운영 체제를 지원한다 프로그래머에게 디스어셈블된 코드에 주소값을 인식한 후 주석을 달아주거나 프로시저를 호출할 때 스택에 쌓이는 파라미터도 보기 쉽게 정리해주는 등 편리하고 유용한 개발 지원 도구다) 플러그인을 제공한다.

- 종합 분석 보고서 제공: 조 샌드박스 A1은 시스템, 네트워크, 악성 행위 등 분석 대상의 동작에 대한 종합 보고서를 제공한다. 문자열, 도메인 및 파일구조, 호출 API, Child Process 등 수많은 데이터가 보고서에 포함된다.

- 다양한 분석 데이터 제공: 조 샌드박스 A1은 분석하면서 발견된 악성코드가 생성하는 파일, 메모리 덤프, 네트워크 패킷 및 스크린샷, 쉘코드, 문자열을 추가적으로 제공한다.

- 다양한 포맷의 보고서 제공: 조 샌드박스 A1은 분석 결과를 XML, JSON 형식과 HTML, PDF 형식으로 제공하며, MAEC, CybOX, MISP 및 OpenIOC과 같은 형식으로도 제공한다.

조 샌드박스 A1에 대한 보다 자세한 정보는 국내 총판사인 인섹시큐리티(www.insec.co.kr) 및 조 시큐리티 제품 소개 사이트(http://www.malwareanalysis.co.kr/a1 )에서 확인할 수 있다. 제품 관련 추가 문의는 e메일 insec@insec.co.kr 혹은 전화(02-863-5687)를 통해 확인할 수 있다.