Журнал "Information Security/ Информационная безопасность" #1, 2026

Одним из способов обхода динамиче- ского анализа являются так называемые отложенные или долгоживущие атаки. Их особенность заключается в том, что вредоносная логика активируется не сразу после запуска программы, а только после выполнения определенного условия. Им может быть конкретная дата, перезагруз- ка системы, длительность процесса или действия пользователя. Пока событие не наступило, программа демонстрирует пол- ностью безопасное поведение. Почему отложенные атаки популярны у злоумышленников Отложенные атаки распространены по нескольким причинам. Прежде всего, они относительно просты в реализации. Добавление задержки выполнения или проверка системного времени не тре- буют сложных механизмов антиотладки и могут быть реализованы даже в отно- сительно простом вредоносном коде. Кроме того, подобные атаки не всегда предполагают активное обнаружение виртуальной среды. Многие техники уклонения основаны на поиске призна- ков виртуализации или инструментов анализа, однако могут быть обнаружены и заблокированы системами защиты. Отложенные атаки работают иначе: вре- доносная программа просто ожидает события, которое в среде анализа обыч- но не происходит. Такая стратегия ока- зывается эффективной против автома- тизированных систем анализа, которые ориентированы на быстрый запуск боль- шого количества объектов. Механизмы реализации отложенных атак На практике отложенные атаки обычно реализуются несколькими механизмами. Один из наиболее простых – использова- ние функций задержки. Вредоносная про- грамма вызывает Sleep, SleepEx или NtDelayExecution, после чего сравнивает фактическое время ожидания с заданным. Если фактическая задержка оказывается короче ожидаемой, программа может сделать вывод, что среда анализа сокра- щает запрошенное время задержки. Другой распространенный подход свя- зан с использованием таймеров: про- грамма планирует выполнение действий через определенный промежуток вре- мени и периодически проверяет состоя- ние системы или наступление заданного условия. Широко применяется также перенос основной вредоносной активности на следующий запуск системы. В этом слу- чае программа сначала закрепляется в системе, используя механизмы устой- чивости, а вредоносная логика активи- руется только после перезагрузки или входа пользователя. Возможности песочниц при обнаружении вредоносных техник Даже если вредоносная логика не активируется сразу, анализ телеметрии выполнения может выявить признаки подготовки к отложенной атаке. Одним из них является серия длительных задер- жек процесса или действия без очевид- ной функциональной необходимости. Другим индикатором может быть исполь- зование таймеров в сочетании с про- верками системного времени. Важным сигналом также являются попытки создания механизмов устойчи- вости. Даже если вредоносная нагрузка не выполняется во время анализа, под- готовка инфраструктуры для ее после- дующего запуска может указывать на наличие скрытой логики. На практике для выявления отложен- ных атак используются механизмы эска- лации анализа. В стандартном режиме песочница выполняет короткий запуск образца и собирает базовую телемет- рию. Однако если в поведении програм- мы обнаруживаются признаки намерен- ного ожидания или временных проверок, система может автоматически перевести объект в режим углубленного анализа. В этом случае выполняется расши- ренный сбор информации о работе про- граммы, в том числе параметров вызо- вов API и стек-трейсов функций задерж- ки. Могут проверяться также попытки создания механизмов устойчивости и выполняться дополнительные сценарии запуска. В некоторых случаях анализ может включать изменение системного времени, контролируемую перезагрузку виртуальной машины или имитацию пользовательской активности. Такие методы позволяют выявить вредоносное поведение, которое не проявляется в стандартном коротком запуске. Практика многоэтапного анализа и роль песочниц Как показывает опыт, стандартный сценарий динамического анализа не всегда позволяет выявить вредоносное поведение. В СберТехе при реализации проектов по внедрению своих решений в инфраструктуру клиентов мы проводим анализ в собственной лаборатории про- верки стороннего ПО. Однажды мы столкнулись с ситуацией, когда иссле- дуемая программа демонстрировала полностью безопасное поведение, но при переходе с 31 декабря на 1 января нагрузка на систему становилась интен- сивнее, а загрузка процессора достигала ста процентов. Подобные сигналы для нас – отправная точка для дополнитель- ных проверок и выявления участков, на которых мы можем повысить безопас- ность. Таким образом, современные системы анализа постепенно переходят к архи- тектуре многоэтапного анализа. Если в поведении программы обнаруживаются признаки временных техник или наме- ренного ожидания, система должна авто- матически инициировать расширенный анализ. Это позволяет значительно повысить вероятность обнаружения дол- гоживущих атак без существенного уве- личения времени анализа для всех объ- ектов. Можно сказать точно, что совре- менные песочницы должны больше ори- ентироваться на обнаружение долгожи- вущих сценариев атак. l 20 • СПЕЦПРОЕКТ Отложенные атаки и возможности песочниц при их обнаружении овременные системы динамического анализа вредоносного программного обеспечения работают в условиях ограниченно- го времени. Как правило, анализ файла в песочнице длится несколько минут, после чего формируется поведенческий отчет. Такой подход позволяет обрабатывать большой поток объектов, однако одновременно создает окно возможностей для злоумышленников. С Кирилл Одиноков, начальник центра контроля безопасности стороннего ПО, СберТех Фото: СберТех