심층적인 분석과 탐지 위해 EML 및 MSG와 같은 저장된 이메일 포맷도 업로드도 가능
조시큐리티가 10일 악성코드 정밀 분석 솔루션 ‘조샌드박스’의 최신 버전 v38을 공개했다고 밝혔다.
조샌드박스 클라우드 프로 및 베이직, OEM 서버는 코드 네임 ‘암몰라이트’로 출시된 이번 릴리즈를 통해 업그레이드가 완료됐다. 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치하며, 고객 포털에서도 확인 가능하다.
이번 릴리즈에는 334개의 야라 및 행위 시그니처가 추가돼 러스트버킷, 아모스 스틸러, 리얼스트, 카마로 드래곤, 에빌 미니오, 미스틱 스틸러, 나이트크립트, 페이올라, 노이스케입로커, 퓨터크립터 등과 같이 다양한 최신 멀웨어를 정확하게 탐지한다. 또한, 다크게이트, 파버티 스틸러, 등 18개의 멀웨어 구성 추출기가 추가됐다.
이와 함께 조샌드박스 v38은 심층적인 분석과 탐지를 위해 EML 및 MSG와 같은 저장된 이메일 포맷도 업로드가 가능하다. 더불어 자바스크립트와 ZIP 파일 및 이메일을 위한 새로운 파일 파서를 제공한다. MSG 파서를 통해 파일에 담긴 이미지 또한 피싱 엔진으로 추출 및 탐지한다. 멀웨어 샘플은 패킹 외에도 정적 분석을 방해하기 위해 문자열 암호화를 사용한다. 조샌드박스는 20여개의 문자열 복호화 기법을 제공해 리포트에서 암호 해독된 모든 문자열에 액세스하도록 지원한다.
조샌드박스 암몰라이트는 HTML, XML, XML, XML, XML 등의 파일에 숨겨진 페이로드가 늘어나는 추이에 대응해 이와 관련된 공격을 탐지하는 기능을 확대했다. 새로운 행위 시그니처를 비롯해 동적 추출을 위한 추가적인 모듈 및 정적 규칙을 제공한다. 이와 함께 QR코드 피싱을 차단하기 위해 자동으로 QR 이미지를 디코딩해 내장된 페이로드를 자동으로 처리한다. PNG, JPEG, GIF 등의 이미지는 물론 PDF, 워드, EML/MSG 등의 파일을 모두 지원한다.
암몰라이트는 애플 실리콘 기반의 맥 기기와 연동돼 M 시리즈 칩에서 동작하는 macOS 악성코드를 자동으로 분석하고, 이에 대한 결과를 확인한다. 분석 개요 화면은 조샌드박스 웹 인터페이스의 핵심이다. 현재 완료된 모든 분석 결과와 이전 분석 결과를 비교하며, 한 번의 클릭으로 전체 분석 보고서, 실행 보고서 또는 IOC 보고서를 확인한다.
조시큐리티 ‘조샌드박스’의 공식 총판사 인섹시큐리티 김종광 대표는 “악성코드 유포 수법이 다변화되고 있어 광범위하고 정밀한 탐지 환경을 구축하는 것이 중요해졌다. 인섹시큐리티는 조샌드박스와 자사의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피, S2W의 다크웹 위협 정보 분석 플랫폼 퀘이사, 네트워크 위협탐지 기업 쿼드마이너를 연동해 물샐 틈 없는 통합 보안 환경을 제공한다”고 말했다.
헬로티 서재창 기자 |