악성코드 유포 수법 다변화·광범위해져...정밀한 탐지·분석 환경 구축의 중요성 대두
[보안뉴스 이소미 기자] 디지털포렌식 및 정보보안 전문업체 인섹시큐리티(대표 김종광)는 악성코드 분석 솔루션 기업 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 v38을 공개했다고 10일 밝혔다.
▲침해사고 조사 및 악성코드 자동 탐지 분석 솔루션 ‘조샌드박스’[이미지=인섹시큐리티]
조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직·OEM 서버는 코드 네임 ‘암몰라이트(Ammolite)’로 출시된 이번 릴리즈를 통해 업그레이드를 완료했다. 기존 사용자는 이메일로 제공된 업데이트 가이드를 통해 온-프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.
이번 릴리즈에는 334개의 야라(Yara) 및 행위 시그니처(Behavior signatures)가 추가돼 △러스트버킷(RustBucket) △아모스 스틸러(AMOS Stealer) △리얼스트(Realst) △카마로 드래곤(CamaroDragon) △에빌 미니오(Evil Minio) △미스틱 스틸러(Mystic Stealer) △나이트크립트(KnightCrypt) △페이올라(Payola) △노이스케입로커(NoEscapeLocker) △퓨터크립터(Purecrypter) 등과 같이 다양한 최신 멀웨어를 정확하게 탐지한다. 또한, △다크게이트(DarkGate) △파버티 스틸러(Poverty Stealer) 등 18개의 멀웨어 구성 추출기가 추가됐다.
이와 함께 조샌드박스 v38은 보다 심층적인 분석과 탐지를 위해 EML 및 MSG(Outlook)와 같은 저장된 이메일 포맷도 업로드가 가능하다. 더불어 자바스크립트와 ZIP 파일 및 이메일을 위한 새로운 파일 파서(parer)를 제공한다. MSG 파서를 통해 파일에 담긴 이미지도 피싱 엔진으로 추출·탐지할 수 있다.
▲20여 개 문자열 복호화 기법으로 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다[이미지=인섹시큐리티]
멀웨어 샘플은 패킹 외에도 정적 분석을 방해하기 위해 문자열 암호화를 사용한다. 조샌드박스는 20여 개의 문자열 복호화 기법을 제공해 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다.
또한, 조샌드박스 암몰라이트는 HTML·XML 등의 파일에 숨겨진 페이로드가 늘어나고 있는 추이에 대응해 이와 관련된 공격을 탐지하는 기능을 확대했다. 이에 따라 새로운 행위 시그니처를 비롯해 동적 추출을 위한 추가적인 모듈 및 정적 규칙들을 제공한다.
이와 함께 QR코드 피싱(Quishing) 차단을 위해 자동으로 QR 이미지를 디코딩해 내장된 페이로드를 자동으로 처리한다. PNG·JPEG·GIF 등의 이미지는 물론 PDF·워드·EML/MSG 등의 파일을 모두 지원한다.
▲Apple Silicon 기반의 Mac 기기와 연동해 분석 및 결과를 확인할 수 있다[이미지=인섹시큐리티]
또한. Apple Silicon 기반의 Mac 기기와 연동돼 M Series Chip에서 동작하는 macOS 악성코드를 자동으로 분석하고, 이에 대한 결과를 확인할 수 있다.
▲조샌드박스 웹 인터페이스 핵심인 분석 개요 화면[이미지=인섹시큐리티]
분석 개요 화면은 조샌드박스 웹(Joe Sandbox Web) 인터페이스의 핵심이다. 현재 완료된 모든 분석결과와 이전 분석결과를 비교할 수 있으며, 단 한 번의 클릭으로 △전체 분석 보고서 △실행 보고서 △IOC 보고서를 확인할 수 있다.
이 밖에도 조샌드박스 v38 암몰라이트는 △Windows 10/11 22H2 지원 △OneNote 링크 분석 △SVG에 대한 피싱 탐지 △COM Dll 로딩 탐지 △Linux 및 Mac 리포트에 메모리 덤프 정보 추가 △Android 메모리 문자열에 대한 Yara 검색 추가 △러스트(Rust)·고랭(GoLang)의 프로그래밍 언어 검출 기능 △메모리 덤핑에 대한 필터링 강화 △향상된 .Net 디컴파일(ILSpy) △CNN을 통한 피싱 탐지 정밀도 개선 △손상된 APK(zip header) 파일 분석 기능 향상 △ DMG 파일 탐지 기능 향상 △DMG 파일 정적 분석 개선 △VBS 스크립트 시작 개선 △네트워크 노이즈 필터링 개선 △크롬 다운로드 자동화 향상 등의 다양한 기능들을 제공한다.
조시큐리티 ‘조샌드박스’의 공식 총판사인 인섹시큐리티의 김종광 대표는 “악성코드 유포 수법이 다변화되고 있어 광범위하고 정밀한 탐지 환경 구축이 그 어느 때보다 중요해졌다”면서, “인섹시큐리티는 조샌드박스와 인섹시큐리티의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피(Criminal IP), S2W사의 다크웹 위협 정보 분석 플랫폼 퀘이사(Quaxar), 네트워크 위협탐지 전문기업 쿼드마이너(Quad Miners)를 연동해 물 샐 틈 없는 통합 보안 환경을 제공한다”고 말했다.
[이소미 기자(boan4@boannews.com)]
[보안뉴스 이소미 기자] 디지털포렌식 및 정보보안 전문업체 인섹시큐리티(대표 김종광)는 악성코드 분석 솔루션 기업 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 v38을 공개했다고 10일 밝혔다.
▲침해사고 조사 및 악성코드 자동 탐지 분석 솔루션 ‘조샌드박스’[이미지=인섹시큐리티]
조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직·OEM 서버는 코드 네임 ‘암몰라이트(Ammolite)’로 출시된 이번 릴리즈를 통해 업그레이드를 완료했다. 기존 사용자는 이메일로 제공된 업데이트 가이드를 통해 온-프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.
이번 릴리즈에는 334개의 야라(Yara) 및 행위 시그니처(Behavior signatures)가 추가돼 △러스트버킷(RustBucket) △아모스 스틸러(AMOS Stealer) △리얼스트(Realst) △카마로 드래곤(CamaroDragon) △에빌 미니오(Evil Minio) △미스틱 스틸러(Mystic Stealer) △나이트크립트(KnightCrypt) △페이올라(Payola) △노이스케입로커(NoEscapeLocker) △퓨터크립터(Purecrypter) 등과 같이 다양한 최신 멀웨어를 정확하게 탐지한다. 또한, △다크게이트(DarkGate) △파버티 스틸러(Poverty Stealer) 등 18개의 멀웨어 구성 추출기가 추가됐다.
이와 함께 조샌드박스 v38은 보다 심층적인 분석과 탐지를 위해 EML 및 MSG(Outlook)와 같은 저장된 이메일 포맷도 업로드가 가능하다. 더불어 자바스크립트와 ZIP 파일 및 이메일을 위한 새로운 파일 파서(parer)를 제공한다. MSG 파서를 통해 파일에 담긴 이미지도 피싱 엔진으로 추출·탐지할 수 있다.
▲20여 개 문자열 복호화 기법으로 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다[이미지=인섹시큐리티]
멀웨어 샘플은 패킹 외에도 정적 분석을 방해하기 위해 문자열 암호화를 사용한다. 조샌드박스는 20여 개의 문자열 복호화 기법을 제공해 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다.
또한, 조샌드박스 암몰라이트는 HTML·XML 등의 파일에 숨겨진 페이로드가 늘어나고 있는 추이에 대응해 이와 관련된 공격을 탐지하는 기능을 확대했다. 이에 따라 새로운 행위 시그니처를 비롯해 동적 추출을 위한 추가적인 모듈 및 정적 규칙들을 제공한다.
이와 함께 QR코드 피싱(Quishing) 차단을 위해 자동으로 QR 이미지를 디코딩해 내장된 페이로드를 자동으로 처리한다. PNG·JPEG·GIF 등의 이미지는 물론 PDF·워드·EML/MSG 등의 파일을 모두 지원한다.
▲Apple Silicon 기반의 Mac 기기와 연동해 분석 및 결과를 확인할 수 있다[이미지=인섹시큐리티]
또한. Apple Silicon 기반의 Mac 기기와 연동돼 M Series Chip에서 동작하는 macOS 악성코드를 자동으로 분석하고, 이에 대한 결과를 확인할 수 있다.
▲조샌드박스 웹 인터페이스 핵심인 분석 개요 화면[이미지=인섹시큐리티]
분석 개요 화면은 조샌드박스 웹(Joe Sandbox Web) 인터페이스의 핵심이다. 현재 완료된 모든 분석결과와 이전 분석결과를 비교할 수 있으며, 단 한 번의 클릭으로 △전체 분석 보고서 △실행 보고서 △IOC 보고서를 확인할 수 있다.
이 밖에도 조샌드박스 v38 암몰라이트는 △Windows 10/11 22H2 지원 △OneNote 링크 분석 △SVG에 대한 피싱 탐지 △COM Dll 로딩 탐지 △Linux 및 Mac 리포트에 메모리 덤프 정보 추가 △Android 메모리 문자열에 대한 Yara 검색 추가 △러스트(Rust)·고랭(GoLang)의 프로그래밍 언어 검출 기능 △메모리 덤핑에 대한 필터링 강화 △향상된 .Net 디컴파일(ILSpy) △CNN을 통한 피싱 탐지 정밀도 개선 △손상된 APK(zip header) 파일 분석 기능 향상 △ DMG 파일 탐지 기능 향상 △DMG 파일 정적 분석 개선 △VBS 스크립트 시작 개선 △네트워크 노이즈 필터링 개선 △크롬 다운로드 자동화 향상 등의 다양한 기능들을 제공한다.
조시큐리티 ‘조샌드박스’의 공식 총판사인 인섹시큐리티의 김종광 대표는 “악성코드 유포 수법이 다변화되고 있어 광범위하고 정밀한 탐지 환경 구축이 그 어느 때보다 중요해졌다”면서, “인섹시큐리티는 조샌드박스와 인섹시큐리티의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피(Criminal IP), S2W사의 다크웹 위협 정보 분석 플랫폼 퀘이사(Quaxar), 네트워크 위협탐지 전문기업 쿼드마이너(Quad Miners)를 연동해 물 샐 틈 없는 통합 보안 환경을 제공한다”고 말했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
