뉴스 본문

최근 ExileRAT, LuckyCat RAT, LokiBot, Anubis Loader 등 시그니처 업데이트를 통해 최신 위협 및 회피 행동을 정확하게 탐지

약 100개 이상의 새로운 악성행위 시그니처(Behavior Signatures) 기반 분석

오피스 문서 분석을 위한 OCR(문자인식기술, Optical Character Recognition) 제공

멀웨어의 언패킹(압축되지 않은 Unpacking) 단계에서의 탐지 마이크로소프트(Microsoft)의 안티 멀웨어 스캔 인터페이스(Anti Malware Scan Interface, 이하 AMSI)와 통합

멀웨어 샘플 분석이 필요한 경우 사용할 수 있는 ‘제출(Submission) 옵션’ 제공

JA3 지원

이상 메일 수신시 알람을 발송하는 ‘조샌드박스 메일 모니터 2.0.0(Joe Sandbox Mail Monitor 2.0.0)’ 제공

유사한 공격 행위를 분석할 수 있는 ‘조샌드박스 클래스 3.0.0(Joe Sandbox Class 3.0.0)’ 제공

안드로이드 8.0 보안 환경 분석 지원 추가

보안 환경 신뢰도 점수 제공

디지털포렌식 및 네트워크 보안 전문업체인 인섹시큐리티(대표 김종광)는 오늘, 멀웨어 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox) v25’인 ‘타이거스 아이(Tiger's Eye)’를 국내 출시했다고 밝혔다. 

‘조샌드박스’는 윈도우, 맥OS, 안드로이드, iOS, 리눅스 등의 운영체제를 포함한 실행 파일 및 문서 포맷에 대한 분석을 지원하는 통합 플랫폼이다.

조시큐리티의 조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro), 베이직(Basic) 및 OEM 서버는 이미 ‘타이거스 아이(Tiger 's Eye)’로 업그레이드 되었으며, 주요 특장점은 다음과 같다. 

조샌드박스 v25는  약 100개 이상의 새로운 악성행위 시그니처(Behavior Signatures) 기반 분석  오피스 문서 분석을 위한 OCR(문자인식기술, Optical Character Recognition) 제공  멀웨어의 언패킹(압축되지 않은 Unpacking) 단계에서의 탐지  마이크로소프트(Microsoft)의 안티 멀웨어 스캔 인터페이스(Anti Malware Scan Interface, 이하 AMSI)와 통합  멀웨어 샘플 분석이 필요한 경우 사용할 수 있는 ‘제출(Submission) 옵션’ 제공  JA3 지원  이상 메일 수신시 알람을 발송하는 ‘조샌드박스 메일 모니터 2.0.0(Joe Sandbox Mail Monitor 2.0.0)’ 제공  유사한 공격 행위를 분석할 수 있는 ‘조샌드박스 클래스 3.0.0(Joe Sandbox Class 3.0.0)’ 제공  안드로이드 8.0 보안 환경 분석 지원 추가  보안 환경 신뢰도 점수 제공 등을 강화했다.

약 100 개 이상의 새로운 악성행위 시그니처(Behavior Signatures) 기반 분석 

조샌드박스(Joe Sandbox)는 최근 ExileRAT, LuckyCat RAT, LokiBot, Anubis Loader 등 시그니처 업데이트를 통해 최신 위협 및 회피 행동을 정확하게 탐지할 수 있다. 

오피스 문서 분석을 위한 OCR(문자인식기술, Optical Character Recognition) 제공 

악성 오피스 문서에는 사용자가 매크로를 활성화시키거나, 낮은 보안 수준으로 설정하도록 유도하는 이미지 및 텍스트가 포함되어 있는 경우가 많다. 조샌드박스 타이거스 아이(Joe Sandbox Tiger 's Eye)는 오피스 문서 콘텐츠에 대한 새로운 OCR 추출 기술을 적용하여 이 같은 위험을 정확하게 탐지할 수 있다. 이 기능은 최신 오피스 버전에서 작동하지 않는 오래된 익스플로잇이 포함된 악의적인 문서 탐지에 매우 유용하다.

멀웨어의 언패킹(압축되지 않은 Unpacking) 단계에서의 탐지 

현재 모든 멀웨어의 99%는 패킹(압축)되어 있다. 타이거스 아이(Tiger's Eye)는 멀웨어 내 PE 파일 덮어쓰기(overwriting) 및 동적 코드 로딩(dynamic code loading)에 대한 시그니처 기반 탐지를 지원한다.

마이크로소프트(Microsoft)의 안티 멀웨어 스캔 인터페이스(Anti Malware Scan Interface, 이하 AMSI)와 통합 

조샌드박스 v25는 마이크로소프트(Microsoft)의 안티 멀웨어 스캔 인터페이스(Anti Malware Scan Interface, 이하 AMSI)를 사용할 수 있다. 새로운 쿡북(cookbook) 명령어 _JBEnableAMSI()가 추가될 때 조샌드박스는 모든 AMSI 버퍼 출력을 캡처한다. 이를 통해 조샌드박스 v25는 악의적인 Javascript, VBS, Powershell 및 ‘Microsoft Office Macros’의 패킹(압축)을 풀고 파일복호화(deobfuscate)를 실행할 수 있다.

멀웨어 샘플 분석이 필요한 경우 사용할 수 있는 ‘제출(Submission) 옵션’ 제공 

명령행 인자(command line argument)를 요구하는 멀웨어 샘플을 분석하고자 하는 경우, 타이거스 아이(Tiger's Eye)는 다음과 같은 새로운 제출 옵션을 제공한다.

명령행 인자(command line argument) 옵션 외에도 아카이브 암호를 지정할 수 있는 새로운 옵션도 제공한다. 로컬 안티바이러스 에이전트가 파일을 삭제하지 못하도록 암호가 지정된 Zip 아카이브에 모든 멀웨어를 보관하는 경우, 사용자는 비밀번호를 제출 옵션으로 추가할 수 있으며, 조샌드박스는 제출 시에 파일을 자동 추출한다.

JA3 지원 - JA3는 SSL/TLS 클라이언트 지문을 생성하여 사이버 위협 인텔리전스를 손쉽게 공유할 수 있도록 지원한다. JA3 지문은 네트워크 섹션 HTTPS 패키지에서 찾을 수 있다.

의심스러운 이상 메일 수신시 알람을 발송하는 ‘조샌드박스 메일 모니터 2.0.0(Joe Sandbox Mail Monitor 2.0.0)’ 제공 

타이거스 아이(Tiger's Eye)는 새로운 기능이 추가된 조샌드박스 메일 모니터 2.0.0(Joe Sandbox Mail Monitor 2.0.0)를 지원한다. 아래와 같이 메일 모니터(Mail Monitor)는 이메일 수신 시에 알림을 보낼 수 있다.  

또한, 여러 분석(첨부 및 링크)에 대한 요약 알림을 보낼 수도 있으며, 향상된 설정 인터페이스를 사용할 수 있다.  

유사한 공격 행위를 분석할 수 있는 ‘조샌드박스 클래스 3.0.0(Joe Sandbox Class 3.0.0)’ 제공 

타이거스 아이(Tiger's Eye)에는 조샌드박스 3.0.0(Joe Sandbox 3.0.0)이 포함되어 있다. 조샌드박스 3.0.0은 유사성 분석을 위해 조샌드박스의 대용량 악성 행위 시그니처 세트를 사용하는 새로운 엔진이 탑재되어 있는데, 이를 통한 가장 큰 이점은 Class 3.0.0이 윈도우, 안드로이드, 맥 OS, 리눅스에서 유사한 샘플을 탐지할 수 있다는 것이며, 또 한 가지 이점은 유사성 알고리즘이 멀웨어의 프로그래밍 언어와 독립적으로 작용한다는 점이다. 유사성은 전체 보고서에서 유사한 샘플 리스트와 함께 그래프를 통해 시각화된다. 아래 화면은 최근 샘플을 통한 유사성 그래프이다. 

LokiBot 변종(윈도우)

아누비스(Anubis) e-뱅킹 트로이목마 (안드로이드)

레테페(Retefe) (맥 OS)

안드로이드 8.0 보안 지원 추가 - 안드로이드 8.0에 대한 지원이 추가되어 결과적으로 안드로이드 8.0에서 안드로이드 멀웨어를 분석할 수 있다.

모션 시뮬레이션(Motion Simulation)

최근 안드로이드 멀웨어에 모션 트리거를 기반으로 하는 새로운 회피 기법이 기승을 부리고 있다. 

안드로이드 기기는 모션 데이터(예를 들어 자이로스코프 - 단말기의 각도와 각속도를 측정하는 센서)를 수신하는 경우에만 멀웨어의 페이로드가 실행된다.

페이로드를 활성화하기 위해 쿡북 명령어 _JBSimulateMotion()을 추가했다. 이 명령은 최대 200개의 단계를 시뮬레이션한다.

보안 환경 신뢰도 점수 제공 

안드로이드 분석에는 신뢰도 점수가 새롭게 포함된다. 이 신뢰도는 조샌드박스가 탐지에 대해 얼마나 확신하는지를 수치로 보여준다. 신뢰 점수와 결합된 탐지 의견을 통해 매우 정확한 탐지가 가능해진다.

위에서 언급한 특징 외에 타이거스 아이(Tiger's Eye)의 장점은 다음과 같다.

•NSRL(National Software Reference Library)에 기반한 화이트리스트 추가

•COM 기반 Office 자동화 추가

•리포트에 PCAP 다운로드 추가

•리포트에 삭제된 바이너리, 메모리 덤프(memory dumps) 및 압축되지 않은 다운로드 파일 추가

•ssdeep hash 추가

•PE 리치 헤더 정보 추가

•행동 그래프에 아이콘 추가

•WMI 안티-회피 기법 추가

•VMware Workstation 및 ESXi에 대한 INetSim 지원 추가

•웹 인터페이스 및 웹 API에 세컨더리 포렌식 데이터를 생성하는 옵션 추가

•Android AD 프레임워크 추출 기능 추가

•소스 코드 보고서에 검색 기능 추가

•고속 모드(이전에는 하이퍼 모드)의 성능 향상(최대 40 %)

인섹시큐리티는 조시큐리티 ‘조샌드박스’의 공식총판사로, ‘조샌드박스’의 25번째 버전 ‘타이거스 아이(Tiger's Eye)’에 대한 보다 자세한 사항은 웹사이트를 참고하면 된다. 제품 관련 추가 문의는 e메일 혹은 전화를 통해 확인할 수 있다.