인섹시큐리티(대표 김종광)는 멀웨어 분석 솔루션 기업 조시큐리티가 베어 메탈에 대한 멀웨어 분석을 수행하는 악성코드 정밀 분석 어플라이언스 ‘조 샌드박스(Joe Sandbox) A1’을 출시한다고 26일 밝혔다. 조샌드박스 A1은 ‘조 샌드박스 데스크톱’이 설치된 초소형 NUC PC 폼팩터를 기반으로 한다.
조샌드박스 A1은 버추얼박스, VM웨어, KVM 등 가상 머신을 사용하지 않고, 실제 물리 장비인 NUC 하드웨어에서 악성코드를 분석한다. 하이퍼바이저 기반 검사(HBI) 기술을 사용해 네트워크로 연결된 모든 운영체제의 악성코드 분석을 지원한다. 더불어 조 샌드박스 A1은 다양한 악성 행위를 탐지하고 분류하기 위해 959개 이상의 악성 행위 시그니처 기반 분석을 제공한다.
더불어 959개 이상의 행위 시그니처를 이용해 쉘코드, 익스플로잇, 확산, 데이터 유출, C&C 통신 등 다양한 악성 행위를 탐지하고 분류한다. 야라 룰을 지원해 분석하는 모든 샘플, 다운로드 된 파일, 리소스 및 메모리 덤프를 검사한다. 또한 분석 데이터를 기반으로 다양한 야라 방식을 생성할 수 있다.
MS 오피스에 포함된 마이크로소프트 오피스 응용 프로그램용 언어(VBA) 매크로, 자바스크립트의 모든 메소드 또는 API 호출을 모니터링한다. 모니터링 정보를 통해 콜 그래프를 생성하고 페이로드 URL을 탐지한다. 또한 VBA에 후크를 설치해 함수 매개 변수와 반환 값을 수정 할 수 있다.
하이브리드 코드 분석(HCA)을 지원해 정적·동적 분석을 결합해 파일을 분석한다. 또한 파일 내 회피 기능, 숨겨진 기능, 숨겨진 페이로드, 숨겨진 코드 등을 분석하여 정보를 제공한다. 실행 그래프 분석(EGA)으로 파일의 실행 흐름을 분석하고, 주요 API 호출 기능, 내부 함수 호출 등을 시각화 제공한다.
보안이 강화된 웹사이트인 HTTPS 트래픽을 검사하기 위해 SSL 프록시 기능을 제공하며, HTTPS로 통신하는 데이터를 분석할 수 있다. 레스트풀 웹 API를 제공하기 때문에 기존의 위협 인텔리전스 시스템과 연동할 수 있으며 다양한 확장성을 가지고 있다.
