조시큐리티, 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스 v20’ 출시
상태바
조시큐리티, 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스 v20’ 출시
  • 정환용 기자
  • 승인 2018.01.08 09:58
  • 댓글 0
이 기사를 공유합니다

[CCTV뉴스=정환용 기자] 조시큐리티(JoeSecurity)가 악성코드 정밀분석 자동화 솔루션 ‘조샌드박스’(JoeSandbox) 신제품을 출시했다. 조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일과 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다.

최신 버전 조샌드박스의 주요 특징은 다음과 같다.

▲74개의 새로운 행동 시그니처: 조샌드박스 데스크톱(Joe Sandbox Desktop), 모바일(Mobile), X, 컴플리트(Complete), 얼티밋(Ultimate) 버전에 새로운 악성코드 행위 시그니처 74개가 추가됐다. 특히 지난해 이슈가 됐던 워너크라이(WannaCry), 페트야(Petya), 와이어X(WireX), CVE-2017-8759 등이 추가돼, 현재 1414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다.

▲포괄적인 자바스크립트 정밀분석: 조샌드박스는 20은 모든 자바스크립트 변수와 API 콜을 탐지하고 추적해 분석한다. 특히 자바스크립트 파일의 복호화(deobfuscate)를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션과 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다.

▲위치 정보 파악을 차단하는 로컬 인터넷 비식별화: 타깃 공격을 위한 멀웨어는 디바이스의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션(geolocation) 정보를 확인한다. 예를 들어 미국 기업을 노리는 멀웨어의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크해, 기존의 블랙리스트와 IP 소유자를 비교한다. 조샌드박스 20에는 이런 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(LIA, Localized Internet Anonymization) 기능이 추가됐다.

▲웹 API v2 제공: 조시큐리티는 이번 최신 버전을 통해 웹 API를 재설계했다. API v2는 연속적 JSON 아웃풋, 혁신적 오류 처리, 파이선 2.7 이상 지원 등의 장점을 제공한다. 전체 파이선 웹 API에 대한 자료는 조시큐리티 깃허브에서 다운로드받을 수 있다.

▲안드로이드 디바이스 관리 자동화: 안드로이드 멀웨어의 경우 디바이스 관리 권한을 요청하는 경우가 발생한다. 조샌드박스 v20은 APK에 관리 권한이 부여되는 것을 차단하고, 다이얼로그 클릭 방식의 자동화 코드를 추가했다. 이를 통해 더 많은 행동 양식을 분석하고 정밀한 탐지와 풍부한 런타임 정보를 제공할 수 있게 됐다.

▲위협 인텔리전스: 조샌드박스 v20은 고부가 IOC의 수집 자료와 조샌드박스 클라우드(Joe Sandbox Cloud) 사용자들이 공유한 지표를 바탕으로 운영되는 검색 엔진인 조샌드박스 뷰(Joe Sandbox View)를 통해 위협 인텔리전스를 제공한다. 이 내용을 바탕으로 리포트에 새로운 섹션이 추가돼 상황 정보를 제공한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.