[시큐리티팩트=김상규 기자] 악성코드 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 v38을 공개했다고 10일 밝혔다.
조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직, OEM 서버는 코드 네임 ‘암몰라이트(Ammolite)’로 출시된 이번 릴리즈를 통해 업그레이드가 완료됐다. 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.
이번 릴리즈에는 334개의 야라(Yara) 및 행위 시그니처가 추가되어 러스트버킷(RustBucket), 아모스 스틸러(AMOS Stealer), 리얼스트(Realst) 등과 같이 다양한 최신 멀웨어를 정확하게 탐지한다. 또한 다크게이트(DarkGate), 파버티 스틸러(Poverty Stealer) 등 18개의 멀웨어 구성 추출기가 추가됐다.
이와 함께 조샌드박스 v38은 보다 심층적인 분석과 탐지를 위해 EML 및 MSG(Outlook)와 같은 저장된 이메일 포맷도 업로드가 가능하다. 더불어 자바스크립트와 ZIP 파일 및 이메일을 위한 새로운 파일 파서를 제공한다. MSG 파서를 통해 파일에 담긴 이미지 또한 피싱 엔진으로 추출 및 탐지할 수 있다.
멀웨어 샘플은 패킹 외에도 정적 분석을 방해하기 위해 문자열 암호화를 사용한다. 조샌드박스는 20여개의 문자열 복호화 기법을 제공해 리포트에서 암호 해독된 모든 문자열에 액세스할 수 있도록 지원한다.
조샌드박스 암몰라이트는 또한 HTML, XML, XML, XML, XML 등의 파일에 숨겨진 페이로드가 늘어나고 있는 추이에 대응해 이와 관련된 공격을 탐지하는 기능을 확대했다. 새로운 행위 시그니처를 비롯해 동적 추출을 위한 추가적인 모듈 및 정적 규칙들을 제공한다.
이에 더해 QR코드 피싱(Quishing)을 차단하기 위해 자동으로 QR 이미지를 디코딩하여 내장된 페이로드를 자동으로 처리한다. PNG, JPEG, GIF 등의 이미지는 물론 PDF, 워드, EML/MSG 등의 파일을 모두 지원한다.