보안뉴스 창간 17주년을 축하합니다!!

Home > Security

조시큐리티, 악성코드 정밀 분석 솔루션 조샌드박스 V40 ‘토르말린’ 출시

입력 : 2024-05-13 11:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
인섹시큐리티의 ‘마에스트로 시큐리티 오케스트레이터’ 연동으로 통합 보안 환경 제공 가능해

[보안뉴스 이소미 기자] 디지털·모바일·드론·가상자산 추적 및 포렌식과 악성코드·침해사고 분석 대응 전문기업 인섹시큐리티(대표 김종광)는 13일 악성코드 분석 솔루션 기업 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 V40을 공개했다고 밝혔다.

▲조시큐리티의 ‘조샌드박스 v40’[이미지=인섹시큐리티]


조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직·OEM 서버는 코드 네임 ‘토르말린(Tourmaline)’으로 출시된 이번 릴리즈를 통해 업그레이드가 완료됐다. 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.

이번 릴리즈에는 186개의 야라(Yara) 및 행위 시그니처(Behavior Signatures)가 추가돼 △업스타일(UPSTYLE) △라트로덱투스(Latrodectus) △튜토리얼RAT(TutorialRAT) △클립월렛(ClipWallet) △클린업로드(CleanUp Loader) △애시드포어(AcidPour) △밋허브(Meethub) △X딜러(Xdealer) 등과 같은 다양한 최신 멀웨어를 정확하게 탐지한다. 또한 △피카봇(Pikabot) △G클리너(GCleaner) △나이팅게일 스틸러(Nightingale Stealer) 등 8개의 멀웨어 구성 추출기가 추가됐다.

멀웨어 샘플에는 윈도우 API를 호출하는 옵션도 있지만 시스템 호출을 통해 커널의 기능을 직접 호출하는 더 어려운 경로를 통해서도 가능하다. 후자의 경우 멀웨어가 AV 및 EDR을 우회하는 데 사용된다. 조샌드박스는 토르말린 업데이트를 통해 이러한 방어 회피에 대한 탐지 기능을 추가했다. 일반적으로 실행되는 직·간접 시스템 호출은 프로세스 및 메모리 주입 동작과 관련 있는데 이러한 행위는 EDR 및 AV 솔루션에서 탐지 가능하기 때문이다.

또한 조샌드박스 토르말린은 파이인스톨러(PyInstaller) 디컴파일을 지원한다. 파이썬(Python)은 빠른 프로토타이핑을 가능하게 하며 파이인스톨러를 사용하면 파이썬 사전 설치 없이도 윈도에서 파이썬을 실행할 수 있다. 따라서 탈취를 노리는 공격자들에게 매우 인기 있는 타깃이 된다. 조샌드박스 v40에는 파이인스톨러 기반 샘플의 자동 언패킹 및 디컴파일 기능이 추가됐다. 디컴파일된 코드는 분석 상세 페이지에서 다운로드할 수 있다.

이와 함께 조샌드박스는 우분투 16버전·20버전에 이어 우분투 22버전에서도 DinodasRAT와 같은 리눅스 악성코드 샘플을 분석할 수 있도록 지원한다. 또한 리눅스 환경에서 배시(bash) 스크립트 파일을 손쉽게 분석 요청할 수 있게끔 다운로드 및 실행 옵션을 제공한다.

이 밖에 조샌드박스 토르말린에 추가된 기능은 △MSIX 파일 분석 지원 추가 △간단한 딜리브 로딩 추가(Big Sur 이후 버전) △Mach-O 정적 구문 분석에 심볼 메타 데이터 추가 △주요 스크린샷 선택 기능 개선 △Yara 규칙 유효성 검사 개선 △잘못된 DNS 탐지 개선 △Firefox 브라우징 성능 개선 △다양한 VM 탐지(부팅 횟수·보안 부팅 등) 방지 개선 △Go로 작성된 ELF 바이너리의 절전 처리 개선 △Apple 실리콘(ARM64)에서 메모리 덤핑 개선 △macOS에서 인메모리 전용 코드 실행에 대한 탐지 기능 개선 △Mach-O 정적 파일 구문 분석 개선 등이다.

조시큐리티 ‘조샌드박스’의 공식 총판사 인섹시큐리티의 김종광 대표는 “최근의 공격자들은 운영체제를 가리지 않고 다양한 공격벡터를 사용하는 추세”라면서, “광범위한 API 통합 에코시스템을 제공하는 조샌드박스는 △TIP △SOAR △XDR △EDR 등과 함께 사용 가능하며 특히 인섹시큐리티는 사이버 위협 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터와 연동해 정교하고 지능적인 공격에 효과적으로 대응할 수 있는 통합 보안 환경을 제공한다”고 말했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)