인섹시큐리티, OS 지원 범위 확장한 ‘조샌드박스 v36’ 공개
상태바
인섹시큐리티, OS 지원 범위 확장한 ‘조샌드박스 v36’ 공개
  • 김선애 기자
  • 승인 2022.12.21 16:04
  • 댓글 0
이 기사를 공유합니다

새로운 악성코드 시그니처 200개 이상 추가…윈도우 11 가상·리얼 분석 지원
HTLM 드로퍼 실행 탐지…동적 분석 시그니처 추가해 우회 공격 차단

[데이터넷] 인섹시큐리티(대표 김종광)는 국내 총판을 맡고 있는 악성코드 분석 전문기업 조시큐리티는 OS 지원 범위를 확장한 ‘조샌드박스 v36’을 공개했다고 21일 밝혔다.

코드 네임 ‘레인보우 오팔(Rainbow Opal)’로 출시된 이번 릴리즈는 200개의 새로운 악성코드 시그니처가 추가됐으며, 윈도우 11 가상·리얼 분석 머신과 맥OS 몬터레이 리얼 머신을 비롯해 안드로이드 12 가상 분석 머신을 추가로 지원한다. 또한 리버스 엔지니어링 도구인 프리다(Frida)와 연동해 안드로이드 쿡북에서 프리다 스크립트를 사용해 안드로이드 샘플을 조작하여 분석할 수 있도록 지원한다. 프리다 아웃풋은 상세 분석 페이지에서 추가로 다운로드 받을 수 있다.

조샌드박스의 행위 시그니처는 동적 분석 시 발생하는 행위에 대한 정의이다. 악성코드 분석 시 악성코드가 동작하는 모든 행위에 대한 정보를 식별하여 각 행위 별로 정상/의심/악성으로 판별할 수 있는 조샌드박스는 업계 최다 행위 시그니처를 제공하고 있다. 악성코드 구성 데이터에는 멀웨어 빌더를 통해 설정한 모든 C&C를 비롯해 랜섬웨어 타깃 확장자, 포트, 로그인 데이터 등 주요 멀웨어 설정 값이 포함된다.

조시큐리티는 최근 HTML 드로퍼 샘플이 증가하고 있다고 경고하며, 이번 버전 업데이트를 통해 HTML 드로퍼 실행이 가능하도록 기능을 추가했다. HTML 드로퍼란 사용자에게 파일 다운로드를 유도하는 HTML 파일로, 분석 시스템을 우회하기 위에 캡차 기술로 화면에 나타나는 패스워드를 입력하도록 보호되어 있다. 이러한 보호 기법을 우회할 수 있도록 조샌드박스는 자동으로 패스워드를 인식/입력하여 분석을 지원하도록 업데이트 했다.

이번 업데이트에는 또한 웹 인터페이스 개선도 포함돼 있다. 복잡한 검색을 수행할 수 있는 고급 검색 기능이 새롭게 추가됐고, 시그마 규칙을 관리하기 위한 API가 제공된다.

김종광 인섹시큐리티의 대표는 “악성코드 샘플이 빠르게 증가하고 있는 만큼 정교하고 광범위한 탐지가 중요해졌다. 인섹시큐리티는 업계 최다 행위 시그니처를 지원하는 조샌드박스와 인섹시큐리티의 인텔리전스 플랫폼 ‘마에스트로 시큐리티 오케스트레이터’, 에이아이스페라의 사이버 위협 인텔리전스 플랫폼 ‘크리미널 아이피’, S2W의 다크웹 위협 정보 분석 플랫폼 ‘퀘이사(Quaxar)’를 연동해 강력한 통합 보안 환경을 제공한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.