디지털 포렌식 및 네트워크 보안 전문 업체 인섹시큐리티(대표 김종광)는 13일, 악성코드 분석 솔루션 기업인 조시큐리티(JoeSecurity)가 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 최신 버전 V40를 공개했다.

이번 릴리스에는 186개의 야라(Yara) 및 행위 시그니처(Behavior signatures)가 추가, 업스타일(UPSTYLE), 라트로덱투스(Latrodectus), 튜토리얼RAT(TutorialRAT) 등의 다양한 최신 악성코드를 정확하게 탐지한다. 또한 피카봇(Pikabot), G클리너(GCleaner), 나이팅게일 스틸러(Nightingale Stealer) 등 8개의 악성코드 구성 추출기가 추가됐다.

특히 v40은 파이인스톨러(PyInstaller) 디컴파일을 지원한다. 파이썬(Python)은 빠른 프로토타이핑을 가능하기에 파이인스톨러를 사용하면 파이썬 사전 설치 없이도 윈도우에서 파이썬을 실행이 가능해 탈취를 노리는 공격자들에게 매우 취약하다. 이에 조샌드박스 v40에는 파이인스톨러 기반 샘플의 자동 언패킹 및 디컴파일 기능이 추가됐다.

또한 조샌드박스는 우분투 16버전, 우분투 20버전에 이어 이제 우분투 22버전 에서도 DinodasRAT와 같은 리눅스 악성코드 샘플을 분석할 수 있도록 지원한다. 또한 리눅스 환경에서 배시(bash) 스크립트 파일을 손쉽게 분석 요청할 수 있게끔 다운로드 및 실행 옵션을 제공한다.

이 밖에 MSIX 파일 분석 지원, 간단한 딜리브 로딩기능(macOS Big Sur 이후 버전), Mach-O 정적 구문 분석에 심볼 메타 데이터가 추가되었으며, 스크린샷 선택 기능, Yara 규칙 유효성 검사, 잘못된 DNS 탐지, 다양한 VM 탐지(부팅 횟수, 보안 부팅 등) 방지, Go로 작성된 ELF 바이너리의 절전 처리 개선 등 외에 여러 기능이 개선됐다.

코드 네임 ‘토르말린(Tourmaline)’으로 출시된 조샌드박스 클라우드 프로(Joe Sandbox Cloud Pro) 및 베이직, OEM 서버는 업그레이드가 완료돼, 기존 사용자는 이메일을 통해 제공된 업데이트 가이드에 따라  즉시 설치할 수 있으며, 고객 포털에서도 확인 가능하다.