Журнал "Information Security/ Информационная безопасность" #1, 2026

Песочницы традиционно используются в тех случаях, когда другие методы ана- лиза не дают однозначного результата. Обычно это означает, что объект уже проверен сигнатурами, репутацией или базовыми моделями классификации, но его поведение остается неясным. Такой подход отражает общую логику защиты: сначала выносится вердикт по объекту, и только при сомнениях запускается более глубокий анализ. В центре вни- мания остается сам файл или ссылка как единица проверки. Этот подход работал, пока атаки были простыми и укладывались в один шаг. Вредоносный файл попадал в систему, выполнялся и проявлял себя достаточно быстро. Его можно было обнаружить по характерным признакам или известным шаблонам. Но современные атаки устроены иначе. Они состоят из нескольких этапов, которые могут быть разнесены во вре- мени и задействовать разные объекты. Например, пользователь открывает архив, внутри которого находится доку- мент. Документ запускает скрипт, а тот уже загружает основной модуль из сети. Каждый элемент по отдельности может выглядеть безопасно. Архив не содержит явного вредоносного кода, документ не вызывает подозрений, а сетевой запрос формально легитимен. Если анализировать их изолированно, то система не всегда сможет принять правильное решение. В таких ситуациях песочница действительно позволяет уви- деть поведение объекта при выполнении. Но анализ одного элемента не позволяет восстановить Kill Chain, поэтому резуль- тат остается фрагментарным. В итоге проблема оказывается не в том, что вредоносный файл не был обнаружен. Проблема в том, что сама атака не была рассмотрена как после- довательность связанных действий. Ограничение классических песочниц Если песочница анализирует только один элемент, то фиксирует лишь часть происходящего. Например, она может показать, что документ запускает скрипт, но не всегда связывает это с тем, откуда этот документ появился и что происходит дальше, после выполнения скрипта. В результате анализ разбивается на отдельные фрагменты. Каждый из них может быть понятен сам по себе, но целостной картины атаки не возникает. Чтобы ее собрать, аналитик должен вручную сопоставлять результаты раз- ных проверок. Это становится пробле- мой, когда атака разворачивается в несколько этапов. Еще одна сложность связана с тем, что поведение может проявляться не сразу. Часть действий откладывается или зависит от внешних условий. Если анализ ограничен по времени или не учитывает такие сценарии, то песочница фиксирует лишь начальный этап. Поэто- му на практике важен не просто запуск объекта в изолированной среде, а воз- можность проследить, как его действия приводят к следующим шагам. А это требует не только наблюдения за про- цессами, но и фиксации связей между ними. Именно в этом направлении разви- ваются современные решения. Напри- мер, в решении ATHENA 1 (разработано компанией АВ Софт) внимание уделяет- ся не только поведению отдельного файла, но и отслеживанию переходов между этапами – от открытия вложения до обращения к внешним ресурсам и загрузки дополнительных компонентов. Подход ATHENA позволяет перейти от анализа отдельных объектов к понима- нию всей последовательности действий. Именно это определяет практическую ценность песочницы в современных условиях. Формирование целостной картины атаки Чтобы перейти от отдельных наблю- дений к целостной картине, песочница должна последовательно фиксировать все этапы, через которые проходит объ- ект. Речь идет не только о запуске файла, но и о действиях, которые он инициирует дальше. Первый шаг – корректно обработать входной объект. На практике это часто не один файл, а контейнер: архив, вло- жение письма или ссылка. Важно не просто открыть его, а пройти всю вло- женную структуру и извлечь связанные компоненты. Далее начинается выполнение. На этом этапе фиксируются действия внутри системы: создание процессов, обраще- ния к памяти, изменения файлов и пара- метров среды. Эти события важны и сами по себе, но еще важнее – их последовательность. Именно она пока- зывает, как один шаг приводит к сле- дующему. Такой анализ дополняется статиче- скими методами, которые позволяют заранее выявить подозрительные при- знаки: структуру файла, макросы, сиг- натуры и другие артефакты. В сочетании со сбором дампов процессов и анализом активности в памяти это дает возмож- ность выявлять атаки, не оставляющие следов на диске. Следующий уровень – сетевое взаи- модействие. Во многих атаках именно здесь происходит переход к основному вредоносному коду. Объект обращается ко внешним ресурсам, загружает допол- нительные модули, получает команды. Если эти действия не связаны с преды- дущими шагами, то анализ распадается на части. Отдельного внимания требуют сцена- рии, в которых поведение зависит от условий выполнения. Например, дей- ствия могут запускаться только при наличии активности пользователя или с задержкой. В таких случаях необходимо не просто наблюдать, но и инициировать 18 • СПЕЦПРОЕКТ Песочница без анализа цепочки атаки: почему просто детекта мало таки чаще всего разворачиваются не по заранее известным сценариям и не там, где их ждут. Многие из них невозможно обнаружить по сигнатурам или привычным индикаторам – они проявляются только в поведении. Песочница – это один из немногих способов разобраться, что на самом деле делает объект, и выявить угрозу до того, как она проявится в инфраструктуре. А Александра Савельева, исполнительный директор АВ Софт Фото: АВ Софт 1 https://avsw.ru/products/anti-apt/athena