악성코드 정밀 분석 솔루션 조샌드박스(JoeSandbox)의 최신 버전 v37이 공개됐다. 코드 네임 베릴(Beryl)로 조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직, OEM 서버가 업그레이드 됐다. 기존 사용자는 업데이트 가이드를 통해 설치할 수 있으며, 고객 포털에서도 제공된다.
릴리즈에는 총 200여개의 야라(Yara) 및 행위 시그니처(Behavior signatures)가 추가되어, 라다만티스(RHADAMANTYS), 헤드크랩(Headcrab), 제로봇(Zerobot), 아이스파이어 랜섬웨어(IceFire Ransomware), 벡터 스틸러(Vector Stealer), iWebUpdate, 악성패키지 Pymafka, 블랙로터스(BlackLotus), 샤프하운드(SharpHound), 크롬로더(ChromLoader) 등과 같이 다양한 멀웨어를 탐지한다. 또한 라다만티스를 비롯해 QBot Downloader, WshRat, Amadey, Titan Stealer 등 13개의 멀웨어 구성 추출기가 추가됐다.
이와 함께 마이크로소프트 원노트(Microsoft OneNote) 파일을 지원한다.
분석 리포트도 개선됐다. 개방형 멀웨어 검색 서비스 멀피디아(Malpedia)를 통합해 위협 정보, 속성 및 URL 등이 추가됐다. 멀피디아에서 제공하는 데이터를 통해 분석가들은 탐지된 위협에 대한 세부 사항을 확인할 수 있다. 라이브 인터랙션 및 결과(Live Interaction & Results) 기능을 사용하면 네트워크 IOC(침해지표)를 실시간 시각화하여 위협을 매뉴얼 방식으로 제거할 수 있다.
피싱 탐지 엔진도 업데이트 했다. 피싱 공격 및 페이로드를 전달하는 악성 HTML 파일이 급증하는 추세에 대응하기 위해 HTML 파일 탐지 정밀도 향상이 달라진 점이다. 이 밖에도 ▲Chrome 캐시 추출 기능을 추가하여 피싱 탐지 기능 향상 ▲Cookbook 명령 추가 _JBDisableSampleRenaming() ▲Android용 v3 시그니처 데이터 추가 ▲ISO 파일 지원 강화 ▲특정 GetTickCount VM 탐지 방지 향상 ▲향상된 PDF 샘플 자동화 ▲라이브 인터랙션 스크린 성능 향상 ▲분석 기능 강화 ▲조샌드박스 ML 강화 등의 변화를 괴했다.
인섹시큐리티의 김종광 대표는 “기술 수준이 높지 않은 공격자들까지도 AI를 사용해 다양한 악성 코드를 만들어내고 있다. 광범위하고 정밀한 탐지가 중요한 만큼 인섹시큐리티는 조샌드박스와 자사의 인텔리전스 플랫폼인 마에스트로 시큐리티 오케스트레이터, 에이아이스페라사의 사이버 위협 인텔리전스 플랫폼인 크리미널 아이피(Criminal IP), S2W사의 다크웹 위협 정보 분석 플랫폼 퀘이사(Quaxar), 네트워크 위협탐지 전문기업 쿼드마이너(Quad Miners)를 연동해 통합 보안 환경 구축을 지원한다”고 말했다.
By 김현동 에디터 Hyundong.Kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
