Журнал "Information Security/ Информационная безопасность" #1, 2026

• 21 ПЕСОЧНИЦЫ www.itsec.ru Распространение готовых автомати- зированных платформ и инструментов, вкупе с активным развитием модели "криминальная инфраструктура как услу- га" (MaaS, Malware-as-a-Service), резко снизили временной и финансовый порог входа для реализации целевых атак. Инструменты, использование которых было привилегией высококвалифици- рованных групп злоумышленников, сего- дня все чаще применяются в дешевых широкомасштабных кампаниях, наце- ленных на массовую аудиторию. По данным антивирусной лаборатории "Доктор Веб", в атаках 2025 г. активно применялись обфускация, автоматизи- рованные конвейеры сборки вредонос- ного кода (CI/CD) и ботнеты с динами- ческими сценариями – инструменты, ранее характерные для целевых опера- ций. Параллельно усложняется фишинг: фальшивые письма и сайты становятся убедительнее, а сценарии социальной инженерии – проработаннее. В рамках подготовки фишинговых схем преступ- ники все больше применяют технологии искусственного интеллекта, тем самым увеличивая степень правдоподобия. Подобная технологическая зрелость снижает эффективность статического сигнатурного анализа. Обфусцирован- ный код, упаковщики, использование легитимных облачных сервисов и поэтап- ная загрузка полезной нагрузки суще- ственно осложняют обнаружение угроз традиционными средствами. Защита без эшелонирования в таких условиях начинает давать сбои: атаки изначально планируются с учетом обхода отдельных механизмов контроля. Поэто- му более эффективна многослойная модель, где различные технологии пере- крывают разные этапы атаки. Важнейший элемент подобной архитектуры – дина- мический анализ. Он показывает не на что похож файл, а что он делает при запуске в изолированной среде: закреп- ляется, внедряется в процессы, связыва- ется с внешними узлами управления, догружает или расшифровывает код. Динамический анализ критически важен для почтового трафика, который остается одним из основных каналов доставки атак – от простых загрузчиков до многоэтапных схем с эксплойтами. Вложенный документ может не содер- жать известных сигнатур, но при откры- тии он запускает действия, приводящие к компрометации станции и распростра- нению заражения внутри сети. Проверка вложений в песочнице позволяет выявить такую активность до попадания файла во внутреннюю инфраструктуру, поэтому динамический анализ сегодня расценивается как обязательный эле- мент защиты. Песочница Dr.Web vxCube Песочница Dr.Web vxCube 1 – средство динамического анализа. Решение выявляет вредоносное поведение как в интерактивном режиме, при загрузке файла через веб-интерфейс по запросу специалиста, так и в автоматическом. Поддержка REST API обеспечивает интеграцию с почтовыми серверами, шлюзами безопасности, системами мониторинга и собственными сервисами обработки файлов, что позволяет авто- матически передавать на анализ вло- жения или загружаемые объекты без участия оператора. Решение поддерживает анализ в сре- дах: l Microsoft Windows (XP, 7, 10, 11), l Android 7.1, l Linux-дистрибутивы Debian (8, 10, 11), l Astra Linux SE 1.7. Такой набор сред позволяет модели- ровать поведение объектов в опера- ционных системах, массово используе- мых в корпоративной инфраструктуре. Система обрабатывает широкий спектр форматов: l исполняемые файлы Windows (EXE, DLL, MSI, драйверы), l Android-пакеты (APK), l документы Microsoft Office и PDF, l скрипты (PowerShell, JavaScript, Python и др.), l Java-архивы (JAR, CLASS), l ELF-файлы Linux, l архивы и контейнеры при передаче через API. Во время анализа разворачивается изолированная виртуальная среда, при- ближенная к рабочей станции пользо- вателя, где выполняется объект. Интер- вал наблюдения настраивается админи- стратором. По умолчанию он составляет одну минуту, но его возможно увеличить для выявления отложенной активности. В процессе исполнения фиксируются действия внутри среды. Затем система оценивает их совокупность и формирует вердикт на основе поведенческих инди- каторов. В зависимости от результата файл либо блокируется, либо допус- кается к передаче во внутреннюю инфра- структуру. Помимо вердикта генерируется дета- лизированный отчет с поведенческими индикаторами, пригодными для форми- рования IOC (Indicators of Compromise) в SIEM, EDR и других системах монито- ринга. Активность сопоставляется с так- тиками и техниками MITRE ATT&CK, что упрощает анализ инцидента и выбор мер реагирования. Особое внимание уделено противо- действию обнаружения виртуальной среды. Многие современные образцы вредоносного ПО способны выявлять запуск в песочнице и менять поведение. В Dr.Web vxCube используются меха- низмы противодействия почти 400 тех- никам определения виртуализации, что повышает вероятность корректного ана- лиза сложных объектов. Решение доступно как для локального развертывания (On-Premises), так и в виде облачного сервиса с учетом требо- ваний к защите данных и архитектуре инфраструктуры. Таким образом, Dr.Web vxCube выпол- няет не только функцию предваритель- ной фильтрации файлов, но и предо- ставляет данные, которые используются в системах мониторинга и реагирования. Это позволяет встроить песочницу в общую архитектуру управления без- опасностью. l Dr.Web vxCube – больше, чем просто песочница о оценкам ряда экспертов и аналитических компаний, отли- чать характеристики массовых и целевых атак становится все сложнее. Раньше типичная массовая кампания представляла собой широкую рассылку вредоносного ПО и фишинговых писем, в расчете на максимальный охват и минимальный отсев. В то же время целевые операции требовали серьезных вложений в разведку и разработку инструментов для адапта- ции под конкретную организацию. П Василий Севостьянов, начальник отдела технического сопровождения продаж, “Доктор Веб" Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Доктор Веб Реклама 0+ 1 https://www.drweb.ru/vxcube/