인섹시큐리티(대표 김종광)가 멀웨어 분석 솔루션 기업인 조시큐리티(JoeSecurity)의 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스(JoeSandbox)’ 신제품을 출시했다. 조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다.

새롭게 출시된 조샌드박스 v20은 최신 악성 행위 시그니처 74개 추가, 포괄적인 자바스크립트 분석, 위치 정보 파악을 차단하는 로컬 인터넷 비식별화, 웹 API v2, 안드로이드 디바이스 관리 자동화, 위협 인텔리전스 등을 강화했다.

■ 74개의 새로운 행동 시그니처
조샌드박스 데스크톱(Joe Sandbox Desktop), 모바일(Mobile), X, 컴플리트(Complete), 얼티밋(Ultimate) 버전에 새로운 악성코드 행위 시그니처 74개가 추가되었으며, 특히 지난해 이슈가 되었던 워너크라이(WannaCry), 페트야(Petya), 와이어X(WireX) 및 CVE-2017-8759 등이 추가되어 현재 1,414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다.

■ 포괄적인 자바스크립트 정밀분석
조샌드박스는 20은 모든 자바스크립트 변수 및 API 콜을 탐지하고 추적하여 분석한다. 특히 자바스크립트 파일의 복호화(deobfuscate)를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션 및 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다.

■ 위치 정보 파악을 차단하는 로컬 인터넷 비식별화
타깃 공격을 위한 멀웨어는 디바이스의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션(geolocation) 정보를 확인한다. 예를 들어 미국 기업을 노리는 멀웨어의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크하여, 기존의 블랙리스트와 IP 소유자를 비교한다. 조샌드박스 20에는 이러한 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(LIA, Localized Internet Anonymization) 기능이 추가됐다.

■ 웹 API v2 제공
조시큐리티는 이번 최신 버전을 통해 웹 API를 재설계 했다. API v2는 연속적 JSON 아웃풋, 혁신적 오류 처리, 파이선 2.7 이상 지원 등의 장점을 제공한다. 전체 파이선 웹 API에 대한 자료는 조시큐리티 깃허브에서 다운로드 받을 수 있다.

■ 안드로이드 디바이스 관리 자동화
안드로이드 멀웨어의 경우 디바이스 관리 권한을 요청하는 경우가 발생한다. 조샌드박스 v20은 APK에 관리 권한이 부여되는 것을 차단하고, 다이얼로그 클릭 방식의 자동화 코드를 추가했다. 이를 통해 더 많은 행동 양식을 분석하고 정밀한 탐지와 풍부한 런타임 정보를 제공할 수 있게 됐다.

■ 위협 인텔리전스
조샌드박스 v20은 고부가 IOC의 수집 자료 및 조샌드박스 클라우드(Joe Sandbox Cloud) 사용자들이 공유한 지표를 바탕으로 운영되는 검색 엔진인 조샌드박스 뷰(Joe Sandbox View)를 통해 위협 인텔리전스를 제공한다. 이내용을 바탕으로 리포트에 새로운 섹션이 추가되어 상황 정보를 제공한다.