디지털포렌식 및 네트워크 보안 전문업체인 인섹시큐리티(대표 김종광, www.insec.co.kr )는 오늘, 멀웨어 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스(JoeSandbox)’ 신제품을 출시했다고 밝혔다. 조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다.

새롭게 출시된 조샌드박스 v20은 최신 악성 행위 시그니처 74개 추가, 포괄적인 자바스크립트 분석, 위치 정보 파악을 차단하는 로컬 인터넷 비식별화, 웹 API v2, 안드로이드 디바이스 관리 자동화, 위협 인텔리전스 등을 강화했다. 최신 버전 조샌드박스의 주요 특장점은 다음과 같다.

74개의 새로운 행동 시그니처: 조샌드박스 데스크톱(Joe Sandbox Desktop), 모바일(Mobile), X, 컴플리트(Complete), 얼티밋(Ultimate) 버전에 새로운 악성코드 행위 시그니처 74개가 추가되었으며, 특히 지난해 이슈가 되었던 워너크라이(WannaCry), 페트야(Petya), 와이어X(WireX) 및 CVE-2017-8759 등이 추가되어 현재 1,414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다.

포괄적인 자바스크립트 정밀분석: 조샌드박스는 20은 모든 자바스크립트 변수 및 API 콜을 탐지하고 추적하여 분석한다. 특히 자바스크립트 파일의 복호화(deobfuscate)를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션 및 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다.

위치 정보 파악을 차단하는 로컬 인터넷 비식별화: 타깃 공격을 위한 멀웨어는 디바이스의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션(geolocation) 정보를 확인한다. 예를 들어 미국 기업을 노리는 멀웨어의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크하여, 기존의 블랙리스트와 IP 소유자를 비교한다. 조샌드박스 20에는 이러한 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(LIA, Localized Internet Anonymization) 기능이 추가됐다.

웹 API v2 제공: 조시큐리티는 이번 최신 버전을 통해 웹 API를 재설계 했다. API v2는 연속적 JSON 아웃풋, 혁신적 오류 처리, 파이선 2.7 이상 지원 등의 장점을 제공한다. 전체 파이선 웹 API에 대한 자료는 조시큐리티 깃허브에서 다운로드 받을 수 있다.

안드로이드 디바이스 관리 자동화: 안드로이드 멀웨어의 경우 디바이스 관리 권한을 요청하는 경우가 발생한다. 조샌드박스 v20은 APK에 관리 권한이 부여되는 것을 차단하고, 다이얼로그 클릭 방식의 자동화 코드를 추가했다. 이를 통해 더 많은 행동 양식을 분석하고 정밀한 탐지와 풍부한 런타임 정보를 제공할 수 있게 됐다.

위협 인텔리전스: 조샌드박스 v20은 고부가 IOC의 수집 자료 및 조샌드박스 클라우드(Joe Sandbox Cloud) 사용자들이 공유한 지표를 바탕으로 운영되는 검색 엔진인 조샌드박스 뷰(Joe Sandbox View)를 통해 위협 인텔리전스를 제공한다. 이내용을 바탕으로 리포트에 새로운 섹션이 추가되어 상황 정보를 제공한다.

조샌드박스 v20에 대한 보다 자세한 정보는 국내 총판사인 인섹시큐리티(www.insec.co.kr) 및 새롭게 개편되어 오픈된 조시큐리티 제품 소개 사이트(www.malwareanalysis.co.kr)에서 확인할 수 있다. 제품 관련 추가 문의는 e메일 insec@insec.co.kr 혹은 전화(02-863-5687)를 통해 확인할 수 있다.