악성코드 정밀 분석 솔루션 조샌드박스의 최신버전 V39, 코드네임 ‘루비’ 출시
폭넓은 멀웨어 탐지 및 피싱에 대응, 다양한 기능 추가 및 개선

[보안뉴스 박은주 기자] 디지털·모바일·드론 포렌식, 가상자산 추적 및 포렌식, 악성코드·침해사고 분석 대응 전문업체인 인섹시큐리티(대표 김종광)는 악성코드 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’ 최신 버전 V39 ‘루비(Ruby)’를 출시했다고 13일 밝혔다.


조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직, OEM 서버는 코드 네임 ‘루비’로 출시된 이번 릴리즈를 통해 업그레이드가 완료됐다. 기존 사용자는 이메일을 통해 제공된 업데이트 가이드를 통해 온프레미스로 즉시 설치할 수 있으며, 고객 포털에서도 확인할 수 있다.

이번 릴리즈에는 287개의 야라(Yara) 및 행위 시그니처(Behavior Signatures)가 추가돼 스펙트럴블러(SpectralBlur), 퓨어랜드 스틸러(PureLand Stealer), 캔디콘 랫(KANDYKORN RAT) 등 다양한 최신 멀웨어를 정확하게 탐지한다. 또한 톡식아이(ToxicEye), 메두사스틸러(Meduzastealer), poshc2, 다이스로더(Diceloader) 등 5개의 멀웨어 구성 추출기가 추가됐다.

조샌드박스는 피싱에 대응한 다양한 기술을 탑재했는데, 특히 V39는 엔진을 업그레이드하며 OCR(광학 문자 인식)를 강화했다. 이를 통해 피싱 탐지 결과 정확도가 높아졌고 특히 초기 피싱 시도 탐지 기능이 향상됐다.

또한 조샌드박스 루비는 안드로이드 13을 신규 지원 운영체제에 추가했다. 이를 통해 최신 APK(안드로이드 애플리케이션 패키지)를 분석할 수 있도록 지원했으며, 맥OS(macOS) 및 리눅스(Linux)용 다중 파일 제출 기능을 제공한다. 최근 악성코드의 경우 실행 시 필요한 종속된 파일 없이 샘플을 실행하면, 실행이 되지 않고 정상적인 동작을 분석하지 못하는 경우가 많아지는 추세다. 루비는 다중 파일 제출 기능을 통해 종속 요소들과 함께 샘플을 제출할 수 있도록 지원한다.

이전 버전인 조샌드박스 V38에서는 애플 칩을 위한 맥OS 분석 기능이 추가됐고, 이번 릴리즈에서는 메모리 덤핑이 추가됐다. 이를 통해 멀웨어 패밀리 제품군을 더욱 폭넓게 탐지할 수 있다. 사용자 메뉴 또한 완전히 새롭게 디자인되어 샌드박스의 가장 중요한 요소를 더 쉽게 이해하고 더 빠르게 액세스할 수 있도록 했다.

이 밖에 조샌드박스 루비에 △조샌드박스용 파워쉘 업로드 스크립트 △PE 파일 섹션 해시 △자동화된 Cloudflare 챌린지 우회 기능 △프로세스 트리를 개선하기 위해 ETW RPC 추적 △Apple Silicon(ARM64)에 대한 LOOKUP 이벤트 △웹 UI CLI 제출 지원 △쿡북 커맨드 JBMoveBinLoadingDirectory △JBRunCmd 쿡북 명령에 PROVIDEDBIN 플레이스 홀더 지원 기능이 추가됐다. 더불어 DMG 추출 및 정적 분석 및 보고서 HTML에 표시되는 HTTP 세션 기능이 개선됐다.

조시큐리티 ‘조샌드박스’의 공식 총판사 인섹시큐리티의 김종광 대표는 “조샌드박스는 AI 기반 악성코드 탐지, 메일 모니터, 위협 사냥 등 지속적인 업데이트를 통해 탐지율을 높이고 심층 분석을 지원한다”고 말했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>