[첨단 헬로티]

인멀웨어 분석 솔루션 업체인 조시큐리티가 악성코드 정밀분석 자동화 솔루션인 '조샌드박스(JoeSandbox)' 신제품을 출시한다.

조샌드박스는 윈도우, 맥OS, 안드로이드, iOS 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다.

조샌드박스 v20은 최신 악성 행위 시그니처 74개 추가, 포괄적인 자바스크립트 분석, 위치 정보 파악을 차단하는 로컬 인터넷 비식별화, 웹 API v2, 안드로이드 디바이스 관리 자동화, 위협 인텔리전스 등을 강화했다.

주요 특장점에 대해 자세히 살펴보자면, 우선 조샌드박스 데스크톱, 모바일, X, 컴플리트, 얼티밋 버전에 새로운 악성코드 행위 시그니처 74개가 추가됐으며 특히 지난해 이슈였던 워너크라이, 페트야, 와이어X 및 CVE-2017-8759 등이 추가돼 현재 1,414개의 명시적 규칙이 담긴 시그니처 셋을 포함하고 있다.

다음 특징은 포괄적인 자바스크립트 정밀 분석이다. 조샌드박스 v20은 모든 자바스크립트 변수 및 API 콜을 탐지하고 추적해 분석한다. 특히 자바스크립트 파일의 복호화(deobfuscate)를 통해 숨겨진 회피 기술을 탐지한다. 자바스크립트 정밀 분석 기능은 기존의 풀 시스템 에뮬레이션 및 인터 모듈러 콜 추적 기법을 통해서는 확보할 수 없는 통찰을 제공한다.

타깃 공격을 위한 멀웨어는 디바이스의 지리적 위치정보를 제공하는 API 표준인 IP 지오로케이션(geolocation) 정보를 확인하는 것도 특징이다. 예를 들어 미국 기업을 노리는 멀웨어의 경우 미국 내 인터넷 공급업체에 속한 IP를 체크하여, 기존의 블랙리스트와 IP 소유자를 비교한다. 

조샌드박스 v20에는 이러한 지오로케이션 체크 시도를 차단하기 위해 로컬 인터넷 비식별화(LIA, Localized Internet Anonymization) 기능이 추가됐다.

조시큐리티는 이번 최신 버전을 통해 웹 API를 재설계 했다. API v2는 연속적 JSON 아웃풋, 혁신적 오류 처리, 파이선 2.7 이상 지원 등의 장점을 제공한다. 전체 파이선 웹 API에 대한 자료는 조시큐리티 깃허브에서 다운로드 받을 수 있다.

조샌드박스 v20에 대한 보다 자세한 정보는 국내 총판사인 인섹시큐리티 및 새롭게 개편되어 오픈된 조시큐리티 제품 소개 사이트에서 확인할 수 있다.