QR코드 피싱 차단 기능 탑재…맥OS 악성코드 분석
[데이터넷] 인섹시큐리티(대표 김종광)가 국내에 공급하는 악성코드 분석 솔루션 기업 조시큐리티의 ‘조샌드박스’ 최신 버전(v38) 코드명 ‘암몰라이트(Ammolite)’가 공개됐다. 최신 버전은 클라우드 프로, 베이직, OEM 서버에 업그레이드됐으며, 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.
이번 릴리즈에는 334개의 야라, 행위 시그니처가 추가돼, 러스트버킷(RustBucket), 아모스 스틸러(AMOS Stealer), 리얼스트(Realst), 카마로 드래곤(CamaroDragon), 에빌 미니오(Evil Minio), 미스틱 스틸러(Mystic Stealer), 나이트크립트(KnightCrypt), 페이올라(Payola), 노이스케입로커(NoEscapeLocker), 퓨터크립터(Purecrypter) 등과 같이 다양한 최신 멀웨어를 탐지한다. 또한 다크게이트(DarkGate), 파버티 스틸러(Poverty Stealer) 등 18개의 멀웨어 구성 추출기가 추가됐다.
조샌드박스 v38은 심층적인 분석과 탐지를 위해 EML, MSG(아웃룩)와 같은 저장된 이메일 포맷도 업로드가 가능하다. 더불어 자바스크립트와 ZIP 파일 및 이메일을 위한 새로운 파일 파서를 제공한다. MSG 파서를 통해 파일에 담긴 이미지 또한 피싱 엔진으로 추출 및 탐지할 수 있다.
멀웨어 샘플은 패킹 외에도 정적 분석을 방해하기 위해 문자열 암호화를 사용한다. 조샌드박스는 20여개의 문자열 복호화 기법을 제공해 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다.
조샌드박스 암몰라이트는 또한 HTML, XML, XML, XML, XML 등의 파일에 숨겨진 페이로드가 늘어나고 있는 추이에 대응해 이와 관련된 공격을 탐지하는 기능을 확대했다. 새로운 행위 시그니처를 비롯해 동적 추출을 위한 추가적인 모듈 및 정적 규칙들을 제공한다.
이와 함께 QR코드 피싱을 차단하기 위해 자동으로 QR 이미지를 디코딩하여 내장된 페이로드를 자동으로 처리한다. PNG, JPEG, GIF 등의 이미지는 물론 PDF, 워드, EML/MSG 등의 파일을 모두 지원한다. 또한 애플 실리콘 기반 Mac 기기와 연동, M 시리즈 칩에서 동작하는 맥OS 악성코드를 자동으로 분석하고, 이에대한 결과를 확인할 수 있다.
김종광 인섹시큐리티 대표는 “악성코드 유포 수법이 다변화되고 있어 광범위하고 정밀한 탐지 환경을 구축하는 것이 그 어느때보다 중요해졌다”며 “인섹시큐리티는 조샌드박스와 자사의 인텔리전스 플랫폼 ‘마에스트로 시큐리티 오케스트레이터’, 에이아이스페라의 사이버 위협 인텔리전스 플랫폼 ‘크리미널 IP’, S2W의 다크웹 위협 정보 분석 플랫폼 ‘퀘이사(Quaxar)’, 네트워크 위협탐지 전문기업 쿼드마이너를 연동해 통합 보안 환경을 제공한다”고 말했다.
