인섹시큐리티(대표 김종광)는 멀웨어 분석 솔루션 기업 조시큐리티가 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스(JoeSandbox)’ 신제품을 출시했다고 8일 밝혔다. 조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다.
조샌드박스 v2.0은 ▲최신 악성 행위 시그니처 74개 추가 ▲포괄적인 자바스크립트 분석 ▲위치 정보 파악을 차단하는 로컬 인터넷 비식별화 ▲웹 API v2 ▲안드로이드 디바이스 관리 자동화 ▲위협 인텔리전스 등을 강화했다.
신제품에는 조샌드박스 데스크톱, 모바일, X, 컴플리트, 얼티밋 버전에 새로운 악성코드 행위 시그니처 74개가 추가됐으며, 특히 지난해 이슈가 되었던 워너크라이, 페트야, 와이어X, CVE-2017-8759 등이 추가돼 1414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다.
또한 모든 자바스크립트 변수와 API 콜을 탐지하고 추적하여 분석한다. 특히 자바스크립트 파일의 복호화를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션 및 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다.
타깃 공격을 위한 멀웨어는 디바이스의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션 정보를 확인한다. 미국 기업을 노리는 멀웨어의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크해, 기존의 블랙리스트와 IP 소유자를 비교한다. 조샌드박스 2.0에는 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(LIA) 기능이 추가됐다.
안드로이드 멀웨어의 경우 디바이스 관리 권한을 요청하는 경우가 발생한다. 조샌드박스 v20은 APK에 관리 권한이 부여되는 것을 차단하고, 다이얼로그 클릭 방식의 자동화 코드를 추가했다. 이를 통해 더 많은 행동 양식을 분석하고 정밀한 탐지와 풍부한 런타임 정보를 제공할 수 있게 됐다.
더불어 고부가 IOC의 수집 자료와 조샌드박스 클라우드 사용자들이 공유한 지표를 바탕으로 운영되는 검색 엔진인 조샌드박스 뷰를 통해 위협 인텔리전스를 제공한다. 이 내용을 바탕으로 리포트에 새로운 섹션이 추가돼 상황 정보를 제공한다.
